企业级必备的优化点:BCrypt 密码加密(替代 MD5)、Token 刷新机制、前端整合 JWT 请求,同时完善全局异常处理,让整个登录体系更安全、更符合生产环境标准。
一、优化 1:BCrypt 密码加密(安全级别更高)
MD5 是不可逆加密,但存在彩虹表破解风险;BCrypt 是自适应哈希函数,自带盐值(随机数),加密后无法逆向破解,是企业主流的密码加密方式。
- 新增 BCrypt 工具类(简化加密 / 校验)
创建com.example.utils.BCryptUtil.java:
java
运行
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
/**
-
BCrypt密码加密工具类
*/
public class BCryptUtil {
private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();/**
- 加密密码
*/
public static String encrypt(String password) {
return encoder.encode(password);
}
/**
- 校验密码(原密码 + 加密后的密码)
*/
public static boolean check(String rawPassword, String encodedPassword) {
return encoder.matches(rawPassword, encodedPassword);
}
}
- 加密密码
- 新增用户注册接口(初始化加密密码)
(1)注册参数封装(RegisterDTO.java)
java
运行
import lombok.Data;
/**
- 注册请求参数
*/
@Data
public class RegisterDTO {
private String username;
private String password;
private String nickname;
}
(2)扩展 UserMapper(新增注册方法)
java
运行
import com.example.entity.User;
import org.apache.ibatis.annotations.Insert;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import java.util.List;
@Mapper
public interface UserMapper {
@Select("select * from user")
List
@Select("select * from user where username = #{username}")
User findByUsername(String username);// 新增用户(注册)
@Insert("insert into user (username, password, nickname) values (#{username}, #{password}, #{nickname})")
int insert(User user);
}
(3)扩展 UserService(新增注册方法)
java
运行
import com.example.dto.LoginDTO;
import com.example.dto.RegisterDTO;
import com.example.entity.User;
import java.util.List;
public interface UserService {
List
String login(LoginDTO loginDTO);// 注册方法
void register(RegisterDTO registerDTO);
}
(4)实现注册业务(UserServiceImpl.java)
java
运行
import com.example.dto.LoginDTO;
import com.example.dto.RegisterDTO;
import com.example.entity.User;
import com.example.mapper.UserMapper;
import com.example.service.UserService;
import com.example.utils.BCryptUtil;
import com.example.utils.JwtUtil;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
import java.util.List;
@Service
public class UserServiceImpl implements UserService {
@Resource
private UserMapper userMapper;
@Resource
private JwtUtil jwtUtil;
@Override
public List<User> findAll() {return userMapper.findAll();
}@Override
public String login(LoginDTO loginDTO) {// 1. 查询用户User user = userMapper.findByUsername(loginDTO.getUsername());if (user == null) {throw new RuntimeException("用户名不存在");}// 2. 改用BCrypt校验密码(替换之前的MD5)if (!BCryptUtil.check(loginDTO.getPassword(), user.getPassword())) {throw new RuntimeException("密码错误");}// 3. 生成tokenreturn jwtUtil.generateToken(user.getUsername());
}@Override
public void register(RegisterDTO registerDTO) {// 1. 校验用户名是否已存在User existUser = userMapper.findByUsername(registerDTO.getUsername());if (existUser != null) {throw new RuntimeException("用户名已存在");}// 2. 密码加密String encodedPwd = BCryptUtil.encrypt(registerDTO.getPassword());// 3. 插入数据库User user = new User();user.setUsername(registerDTO.getUsername());user.setPassword(encodedPwd); // 存储加密后的密码user.setNickname(registerDTO.getNickname());userMapper.insert(user);
}
}
(5)新增注册接口(UserController.java)
java
运行
import com.example.common.Result;
import com.example.dto.LoginDTO;
import com.example.dto.RegisterDTO;
import com.example.entity.User;
import com.example.service.UserService;
import org.springframework.web.bind.annotation.*;
import javax.annotation.Resource;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
@RestController
@RequestMapping("/user")
public class UserController {
@Resource
private UserService userService;
@GetMapping("/list")
public Result<List<User>> list() {return Result.success(userService.findAll());
}@PostMapping("/login")
public Result<Map<String, String>> login(@RequestBody LoginDTO loginDTO) {String token = userService.login(loginDTO);Map<String, String> resultMap = new HashMap<>();resultMap.put("token", token);return Result.success(resultMap);
}// 注册接口
@PostMapping("/register")
public Result<Void> register(@RequestBody RegisterDTO registerDTO) {userService.register(registerDTO);return Result.success(null);
}
}
3. 测试注册接口
请求地址:POST http://localhost:8080/user/register
请求体:
json
{
"username": "test",
"password": "123456",
"nickname": "测试用户"
}
数据库中password字段会存储类似$2a$10$xxxx的加密字符串,而非明文。