Spring的热部署工具和数据库密码加盐操作

1.布置热部署

引言：在程序运行起来后，如果我们对代码进行了修改，需要重新测试修改后的程序，就得重新启动程序，这样很麻烦。于是引入热部署之后，我们就不需要重新启动程序，会自动更正。

1.配置pom文件

<!-- dependencies 标签下检查是否引⼊spring-boot-devtools依赖，如果没有加⼊如下引
⽤ -->
<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-devtools</artifactId>
 <scope>runtime</scope>
 <optional>true</optional>
</dependency>

2.配置Settings

下面需要勾选了

（1）Setting --> Build --> Compiler

（2）Setting --> Advanced Setting --> Comoler

做好以上的步骤，你项目中的热部署就已经做好了。

2.数据库密码加盐

背景：如果我们的密码明文存储在数据库中，要是被窃取了是非常的危险的，所以我们在数据库中存储的密码不能是明文的，需要进行加密后存储，也就是数据库中存储的是密文。

做法：可以采取一种加密算法，对密码加密后存储在数据库中；后续用户登录操作，只需要再对用户的密码进行加密，然后和数据库中的密码比对就知道是否正确了。（这里一般采取的是md5加密算法）

（1）两种加密方式

• 第一种

加密过程：用户输入的密码+盐值 --> 字符串1，然后使用md5对字符串1加密得到字符串2，然后字符串2+盐值 --> 字符串3，这个字符串3就是存储在数据库中的密文。

解密过程：用户输入密码，然后取出对应的盐值相加，得到字符串1；使用md5对字符串1加密得到字符串2；字符串2+盐值得到字符串3；然后使用字符串3和数据库中的密文进行比对，若是相同，则说明密码正确，否则错误。

这种方式更加复杂一些，也就是盐值不单独存储，解密时需要从密文中提取出来。

• 第二种

加密过程：用户输入的密码+盐值 --> 字符串1，使用md5对其加密得到密文，然后将密文和盐值分别存储在数据库中。

解密过程：取出数据库中的盐值和用户输入的密码得到字符串1，使用md5对字符串1加密得到字符串2，然后验证字符串2和数据库中的密文即可。

这种方式比较简单，当然安全性也就更低一些。

（2）加密解密写法

我们讲解第一种加密方式，第二种太简单，相信大家都会。

第一步：创建一个工具类，用来负责统一加密和解密

//用户加密和解密
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.DigestUtils;
import java.io.UnsupportedEncodingException;
import java.util.UUID;
@Slf4j
public class SecurityUtils {
    /**
     *  加密(用于注册时使用)
     */
    public static void encrypt(String password) throws UnsupportedEncodingException {
        String salt = UUID.randomUUID().toString().replace("-","");
        //2.对密码加密
        String secretPassword = DigestUtils.md5DigestAsHex((password+salt).getBytes("UTF-8"));
        //3.数据库存储 密文+盐值
        String sqlPassword = secretPassword+salt;
        System.out.println(sqlPassword);
    }
    /**
     *  解密（用于用户登录时使用）
     */
    public static boolean decode(String inputPassword,String sqlPassword) {
        if(sqlPassword==null || sqlPassword.length()!=64) {
            log.error("密码长度不足");
            return false;
        }
        //2.取出数据库中存储的颜值
        String salt = sqlPassword.substring(32,64);
        //3.验证（加密）
        String secretPasssowrd = null;
        try {
            secretPasssowrd = DigestUtils.md5DigestAsHex((inputPassword+salt).getBytes("UTF-8"));
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }
        return (secretPasssowrd+salt).equals(sqlPassword);
    }
}

这里的盐值我们通过UUID这个类生成一个字符串

第二步：用户登录时进行验证

/**
     * 用户登陆
     */
    @RequestMapping("/login")
    public Result login(String userName, String password) {
        //1.验证账号密码合法性
        if(!StringUtils.hasLength(userName) && !StringUtils.hasLength(password)) {
            return Result.fail(ResultCodeEnum.FAIL.getCode(),"账目密码不能为空");
        }
        //2.根据用户名获取用户信息
        UserInfo userInfo = userService.getUserInfoByName(userName);
        //3.判断用户是否存在
        if(userInfo == null || userInfo.getId()<0) {
            return Result.fail(ResultCodeEnum.FAIL.getCode(),"用户不合法");
        }
        //4.判断密码正确性
        if(!SecurityUtils.decode(password,userInfo.getPassword())) {
            return Result.fail(ResultCodeEnum.PARAM_ERROR.getCode(), "密码错误");
        }
        //5.账目密码正确，开始发放令牌（token）
        Map<String,Object> cliams = new HashMap<>();
        cliams.put("id", userInfo.getId());
        cliams.put("name", userInfo.getUserName());
        //6.返回令牌字符串
        String jwt = JwtUtils.genJwt(cliams);
        return Result.success(jwt);
    }

密码验证比较简单，只需要调用一下工具类即可。