我是靠谱客的博主 隐形小鸭子,最近开发中收集的这篇文章主要介绍记录一次从github上一个项目学到的东西关于VARCHAR的设置密码加密设置SpringBoot项目上传限制SpringBoot项目RestController和Controller基于Spring-JDBC的事务(Transaction)数据的验证原则,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

记录一些从一个项目中学到的一些东西

原作者项目地址
oyh980707/store: 基于Springboot SSM框架的电子商务商城项目 (github.com))

学到一个登录的写法,把盐值也随机,更安全了,把盐值也存到数据库,然后for循环3次md5加密了,判断时候,把盐值和密码都取出来然后判断

		// 从数据库得到盐值
		String salt = result.getSalt();
		// 基于参数中传过来的的password进行加密,得到加密后的密码
		String md5Password = getMd5Password(password, salt);
		//将加密后的密码与数据库存的加密后的密码比较

三次加密

// 得到盐值
		String salt = result.getSalt();
		// 基于参数中的password进行加密,得到加密后的密码
		String md5Password = getMd5Password(password, salt);

还有就是学到一种写法,在service层写私有方法去调用mapper,然后在service层要实现的抽象方法里去调用私有方法的写法

	@Override
	public List<Goods> getNewList() {
		return findNewList();
	}
private List<Goods> findNewList() {
		return this.goodsMapper.findNewList();
	}

如果字段有公共的,可以写个公共的实体类,然后其他实体类去继承,每个表还可以加个修改者的字段

image-20221003210405036

/**
 * 实体类的基类
 *
 */
abstract class BaseEntity implements Serializable {
	private String createdUser;
	private Date createdTime;
	private String modifiedUser;
	private Date modifiedTime;
	
public class Address extends BaseEntity {
	private static final long serialVersionUID = 6946915401608396201L;

	private Integer aid;
	private Integer uid;
	private String name;
	private String provinceCode;
	private String provinceName;
	private String cityCode;
	private String cityName;
	private String areaCode;
	private String areaName;
	private String zip;
	private String address;
	private String phone;
	private String tel;
	private String tag;
	private Integer isDefault;

关于VARCHAR的设置

在MySQL数据库中,如果某字段的类型设置为VARCHAR(30),表示访字段最多存储30个字节长度的数据,如果尝试存入的数据超出30字节,多余的部分将不会被存储!

30个字节,表示为多少个字符,取决于使用的字符编码!

以UTF8为例,如果存储的内容是1个字节的,存储下来例如:

0110 0001

其规则是使用第1位0表示该字符只占1个字节,剩余的7位表示1个字符!

如果某个字符需要使用2个字节才可以表示,UTF8的规则表现例如:

110 01010	10 000111

即第1个字节使用110作为前缀,表示该字符需要2个字节,其中,这里的2个1就表示共要2个字节,后续的第2个字节中的10就表示它是跟随前序字节一起的,第2个字节中的剩余6位才是编码位。

在2个字节中,只有5+6=11个编码位,只能表示2048种不同的组合,所以,在UTF8编码中,2个字节是不可以表示中文的,因为中文里的汉字数量及相关符号远超2048个!所以,中文需要3个字节来表示,在UTF8中,3字节的编码例如:

1110 0101	10 101010	10 010101

在UTF8中,还有需要4字节才可以表示的编码……

所以,如果设计的是VARCHAR(30),并使用UTF8编码,到底可以存入多少字符,也是不确定的,如果存的是ASCII字符,最多可以存30个,如果存的是汉字,只能计划为10个,如果是混合的,可以计划为例如15个英文加上5个汉字……所以,通常,在设置时,只能根据最大需求来进行设计!

另外,请还注意一个问题:设置的字节值,并不代码存储占用空间!例如将VARCHAR(30)存满,还另外会占用1个字节存储长度,表示存了多少字节的数据,在存储长度时,数据类型的字节数在255个时是分隔线,如果使用VARCHAR设置的字节数超过255,则另外需要占用2个字节存储长度!例如设置VARCHAR(300),则额外的存储长度时使用字节数就是2个字节!

密码加密

加密算法并不适合对密码进行加密!因为,所以的加密算法都是可以逆运算的,如果使用的算法和加密时使用的参数是已知的,则可以轻松推算出原始数据!而密码安全问题主要源自内部泄密!也就是说,数据库的数据能泄密,可以认为算法和加密参数也是有泄密的可能的!

对于密码安全问题而言,最好的做法就是将密码进行加密,却任何人都无法解密!则,在密码加密这个问题上,所有的加密算法都是不适用的!只能使用摘要算法!

摘要算法的全称是“消息摘要算法”,这种算法的特征有:

  1. 消息原文相同时,得到的摘要是相同的;

  2. 使用的摘要算法没有发生变化时,无论原文长度是多少,摘要的长度是固定的;

  3. 消息原文不同时,得到的摘要几乎不会相同!

在消息摘要领域中,一定存在N种不同的原文,可以计算得到完全相同的摘要!

使用MD5算法执行摘要运算时,得到的结果都是32位长度的十六进制数,转换成二进制就需要128位,所以,MD5也被称之为128位的算法!

如果有2个不同的原文,可以得到相同的摘要,这种状况称之为“碰撞”,在有限长度的原文中,得到相同的摘要的概率是极低,甚至就是不可能的!

所以,真正用于对密码加密的算法,都是摘要算法,主要原因是因为它不可逆,且在有限长度的原文的基础之上,几乎不可能发生碰撞!

常见的摘要算法有MD5家族和SHA系列,例如:MD2、MD4、MD5、SHA1、SHA128、SHA256、SHA384、SHA512……其中,MD家族的都是128的,SHA系列名称后有位数的,就是对应的位数。

关于MD5或相关摘要算法的破解研究是存在的,主要是针对算法的碰撞攻击,而并不是尝试执行逆运算来得到原始数据!

另外,还有许多网站号称可以在线破解MD5,只需要将摘要结果填进去,就可以查到原始数据,例如填入e10adc3949ba59abbe56e057f20f883e就可以查出123456,事实上,这些网站是记录了大量的原始数据与MD5摘要数据的对应关系,如果原始数据比较简单,或者是常用密码值,被这些网站收录的可能性就非常大!所以,为了提升密码的安全性,保证密码不被这些网站“破解”,可以采取的做法:

  1. 增强原始密码的安全强度,例如从组成元素、长度方面提出更高要求;

  2. 反复执行加密,即多重加密;

  3. 加盐;

  4. 综合以上所有方式。

    select 原始数据 from 表 where 摘要数据=?

    10 + 52 + ? > 80

    1 > 80
    2 > 6400
    3 > 480000
    4 > 40000000
    5 > 3200000000

    8 >

    123456
    e10adc3949ba59abbe56e057f20f883e

    1
    c4ca4238a0b923820dcc509a6f75849b

    111111111111111111111111111111111111111111
    636fa4bad5bf92137374e947b3c424f0

设置SpringBoot项目上传限制

在启动类之前添加@Configuration注解,并在类中添加:

@Bean
public MultipartConfigElement getMultipartConfig() {
	MultipartConfigFactory factory = new MultipartConfigFactory();
	
	DataSize maxFileSize = DataSize.ofMegabytes(50);
	factory.setMaxFileSize(maxFileSize);
	DataSize maxRequestSize = DataSize.ofMegabytes(100);
	factory.setMaxRequestSize(maxRequestSize);
	
	return factory.createMultipartConfig();
}

SpringBoot项目RestController和Controller

@RestController注解相当于@ResponseBody + @Controller合在一起的作用。

  1. 如果只是使用@RestController注解Controller,则Controller中的方法无法返回jsp页面,或者html,配置的视图解析器 InternalResourceViewResolver不起作用,返回的内容就是Return 里的内容。

  2. 如果需要返回到指定页面,则需要用 @Controller配合视图解析器InternalResourceViewResolver才行。如果需要返回JSON,XML或自定义mediaType内容到页面,则需要在对应的方法上加上@ResponseBody注解。

基于Spring-JDBC的事务(Transaction)

首先,事务是用于保障数据安全的,可以使得一系列的增删改操作,要么全部成功,要么全部失败!

**什么情况下需要使用事务:**当某个业务涉及2次或更多次的增、删、改操作时,必须使用事务!例如执行2条Update语句,或1条Insert语句和1条Update语句等。

**如何使用事务:**基于Spring-JDBC的编程中,只需要在业务方法之前添加@Transactional注解即可。

框架在处理事务时,大致的执行过程是:

开启事务:begin
try {
	执行各任务
	提交:commit
} catch (RuntimeException e) {
	回滚:rollback
}

所以,为了保证@Transactional注解能够正常保障事务,在每次的增、删、改操作执行完成后,都必须判断受影响的行数是否是预期值,如果不是预期值,必须抛出RuntimeException或其某个子孙类的异常!

另外,@Transactional注解还可以添加在业务类之前,表示该类中所有的方法在执行时,都是有事务保障的!通常并不推荐这样处理!

数据的验证原则

通常,客户端应该完成数据的基本验证,然后才会将数据提交到服务器,所谓的基本验证通常指的是数据格式的验证,例如字符串的长度、字符串的组成、固定的格式等等。

当客户端完成了这些验证后,基本格式错误的数据将不会被提交的服务器!但是,并不是绝对的,当服务器接收到来自客户端的数据时,第一时间就应该再次验证这些数据!因为客户端是在用户自己手中的,是有可能被恶意篡改的,这一点服务器是无法把控的,所以,服务器并不能完全信任来自客户端的数据!

虽然服务器端会完成数据的验证,也并不代表客户端不需要验证,毕竟能够绕过客户端验证并提交的数据是少部分的,客户端的验证机制能拦截绝大部分数据有误的请求,从而减轻服务器压力!

甚至,在一些特殊的应用中,服务器端的Controller进行了数据验证,但是,Service还会再次验证!多半源自于这些应用中,Service并不一定是由Controller调用的,例如某些计划任务等。

所以,关于数据验证,需要验证的节点有:客户端、服务器端的Controller、服务器端的Service,各自解决不同的问题。

最后

以上就是隐形小鸭子为你收集整理的记录一次从github上一个项目学到的东西关于VARCHAR的设置密码加密设置SpringBoot项目上传限制SpringBoot项目RestController和Controller基于Spring-JDBC的事务(Transaction)数据的验证原则的全部内容,希望文章能够帮你解决记录一次从github上一个项目学到的东西关于VARCHAR的设置密码加密设置SpringBoot项目上传限制SpringBoot项目RestController和Controller基于Spring-JDBC的事务(Transaction)数据的验证原则所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(49)

评论列表共有 0 条评论

立即
投稿
返回
顶部