百度360必应搜狗淘宝本站头条
vba高级教程svn连接scheduledtaskmybatis plus结构体数组
当前位置:网站首页 > 编程网 > 正文

密码安全策略 密码安全策略不可用什么意思

yuyutoo 2024-10-13 00:32 1 浏览 0 评论

  前言

  几乎所有的系统都有密码安全要求,这是基础的安全策略,本文记录常用密码安全策略并编写策略校验工具类

  常用密码安全策略

    密文存储,通常为MD5加盐

    需包含数字、大写字母、小写字母、特殊字符,且有长度限制

    设置有效期,超期强制要求修改密码,或禁止登陆

    连续输入密码错误锁定账号

  代码编写

  PwdUtil.java

package cn.huanzi.qch.util;


import java.util.Calendar;
import java.util.Date;
import java.util.Random;
import java.util.concurrent.ConcurrentHashMap;
import java.util.regex.Pattern;

/**
 * 密码安全策略
 */
public class PwdUtil {
    // 用户连续密码输入错误次数
    private final static ConcurrentHashMap<String,Integer> pwdFailedMap = new ConcurrentHashMap<>(10);
    // 用户连续密码输入错误次数达上限后锁定时长
    private final static ConcurrentHashMap<String, Date> banTimeMap = new ConcurrentHashMap<>(10);
    // 允许连续密码输入错误次数
    private final static Integer maxTryLogin = 3;
    // 连续失败后锁定时长(分钟)
    private final static Integer banMinute = 5;
    // 密码长度限制:[最少,最多]
    private final static Integer[] passwordLength = {6,12};


    /**
     * 密码复杂度校验
     * 满足要求返回1
     */
    public String pwdCheck(String password){
        if(password == null || "".equals(password)){
            return "密码不能为空!";
        }

        //密码长度限制
        if(password.length() < passwordLength[0]){
            return "密码长度不能小于"+passwordLength[0]+"位数!";
        }
        if(password.length() > passwordLength[1]){
            return "密码长度不能大于"+passwordLength[1]+"位数!";
        }

        //数字
        Pattern pat = Pattern.compile("[0-9]+");
        if(!pat.matcher(password).find()){
            return "密码需包含数字!";
        }

        //小写字母
        Pattern pat2 = Pattern.compile("[a-z]+");
        if(!pat2.matcher(password).find()){
            return "密码需包含小写字母!";
        }

        //大写字母
        Pattern pat3 = Pattern.compile("[A-Z]+");
        if(!pat3.matcher(password).find()){
            return "密码需包含大写字母!";
        }

        //特殊字符:~!@#$%^&*()_+/-[]{}\|;':"<>?,.
        Pattern pat4 = Pattern.compile("[~!@#$%^&*()_+/\\-\\[\\]{}\\\\|;':\"<>?,.]+");
        if(!pat4.matcher(password).find()){
            return "密码需包含特殊字符!";
        }


        /*
            也可以直接使用下面这个正则,效果一样,只是错误提示没那么详细
         */
        //数字:(?=.*\d)
        //小写字母:(?=.*[a-z])
        //大写字母:(?=.*[A-Z])
        //特殊字符:(?=.*[~!@#$%^&*()_+/\-\[\]{}\\|;':"<>?,.])
        //长度限制:.{6,12}
        //Pattern pat5 = Pattern.compile("^(?=.*\\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[~!@#$%^&*()_+/\\-\\[\\]{}\\\\|;':\"<>?,.]).{"+passwordLength[0]+","+passwordLength[1]+"}#34;);
        //if(!pat5.matcher(password).find()){
        //    return "密码需包含数字、小写字母、大写字母、特殊字符且长度在"+passwordLength[0]+"-"+passwordLength[1]+"之间!";
        //}

        return "1";
    }

    /**
     * 密码错误一次,并返回可剩余次数提示
     */
    public String addPwdFailedCount(String username) {
        Integer result = 0;
        if (pwdFailedMap.containsKey(username)) {
            result = pwdFailedMap.get(username);

            //校验锁定时间是否到期
            if (banTimeMap.containsKey(username)) {
                Date banTime = banTimeMap.get(username);
                long diff = banTime.getTime() - new Date().getTime();

                if(diff <= 0){
                    banTimeMap.remove(username);
                    pwdFailedMap.remove(username);
                    result = 0;
                }
            }
        }

        ++result;

        if (result >= maxTryLogin) {
            //当前时间 + banMinute
            Calendar cal = Calendar.getInstance();
            cal.add(Calendar.MINUTE, banMinute);
            Date banTime = cal.getTime();
            banTimeMap.put(username, banTime);

            return "密码已经输错" + maxTryLogin + "次," + checkBanTimeByUser(username);
        } else {
            pwdFailedMap.put(username, result);

            return "密码已经输错" + result + "次,输错" + (maxTryLogin - result) + "次后帐号将会被锁定!";
        }
    }

    /**
     * 检查用户是否已经被锁定
     * 未被锁定返回1
     */
    public String checkBanTimeByUser(String username) {
        if (banTimeMap.containsKey(username)) {
            Date banTime = banTimeMap.get(username);
            long diff = banTime.getTime() - new Date().getTime();

            //校验锁定时间是否到期
            if(diff <= 0){
                banTimeMap.remove(username);
                pwdFailedMap.remove(username);
                return "1";
            }

            //毫秒转分钟 1000 * 60
            long minute = (long)Math.ceil((double)diff / 60000);
            return "帐号已被锁定,请" + minute + "分钟后,再登录系统!";
        }

        return "1";
    }

    /**
     * 登陆成功,清除对应集合内容
     */
    public void removeMapDataByUser(String username){
        pwdFailedMap.remove(username);
        banTimeMap.remove(username);
    }

    /**
     * 定时器调用,清除所有集合内容
     */
    public void removeMapDataByAll(){
        pwdFailedMap.clear();
        banTimeMap.clear();
    }

    /**
     * 随机六位数密码:两个数字 + 三个大/小写字母 + 一个特殊字符
     */
    public String randomPassword(){
        final char[] char0 = "0123456789".toCharArray();
        final char[] char1 = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ".toCharArray();
        final char[] char2 = "abcdefghijklmnopqrstuvwxyz".toCharArray();
        final char[] char3 = "ABCDEFGHIJKLMNOPQRSTUVWXYZ".toCharArray();
        final char[] char4 = "~!@#$%^&*()_+/-[]{}\\|;':\"<>?,.".toCharArray();

        //随机六位数密码:两个数字 + 三个大/小写字母 + 一个特殊字符
        Random random = new Random();
        return  String.valueOf(char0[random.nextInt(char0.length - 1)]) +
                char0[random.nextInt(char0.length - 1)] +
                char1[random.nextInt(char1.length - 1)] +
                char2[random.nextInt(char2.length - 1)] +
                char3[random.nextInt(char3.length - 1)] +
                char4[random.nextInt(char4.length - 1)];
    }

}

  简单效果演示

  密码复杂度校验

    /*
        密码长度小于6位:密码长度不能小于6位数!
        密码长度大于12位:密码长度不能大于12位数!
        密码缺少数字:密码需包含数字!
        密码缺少小写字母:密码需包含小写字母!
        密码缺少大写字母:密码需包含大写字母!
        密码缺少特殊字符:密码需包含特殊字符!
        密码包含数字、小写字母、大写字母、特殊字符且长度在6-12之间:1
     */
    public static void main(String[] args) {
        PwdUtil pwdUtil = new PwdUtil();

        System.out.println("密码长度小于6位:"+pwdUtil.pwdCheck("1qQ#"));
        System.out.println("密码长度大于12位:"+pwdUtil.pwdCheck("1qQ#111111111"));
        System.out.println("密码缺少数字:"+pwdUtil.pwdCheck("qqQQ##"));
        System.out.println("密码缺少小写字母:"+pwdUtil.pwdCheck("11QQ##"));
        System.out.println("密码缺少大写字母:"+pwdUtil.pwdCheck("11qq##"));
        System.out.println("密码缺少特殊字符:"+pwdUtil.pwdCheck("11qqQQ"));
        System.out.println("密码包含数字、小写字母、大写字母、特殊字符且长度在6-12之间:"+pwdUtil.pwdCheck("11qqQQ##"));
    }

  模拟登陆,密码错误3次后锁定账号5分钟

  工具类新增两个测试方法

    /**
     * 模拟登陆
     * 登录成功,返回1
     */
    public String login(String username, String password){
        //查库,获取用户信息

        //是否已被锁定
        String checkBanTime = checkBanTimeByUser(username);
        if(!"1".equals(checkBanTime)){
            return checkBanTime;
        }

        /*
            模拟数据
         */
        //密码错误
        if(!getMd5("123456").equals(getMd5(password))){
            return addPwdFailedCount(username);
        }
        //密码正确
        else{
            removeMapDataByUser(username);
            return "1";
        }
    }

    /**
     * 生成MD5加密串
     */
    public String getMd5(String password) {
        String md5 = "";

        try {
            //创建一个md5算法对象
            MessageDigest md = MessageDigest.getInstance("MD5");
            //MD5加盐规则(例如 123456 -> 1234564):原字符串 + 原字符串倒数第三个字符
            byte[] messageByte = (password + password.charAt(password.length() - 3)).getBytes(StandardCharsets.UTF_8);
            //获得MD5字节数组,16*8=128位
            byte[] md5Byte = md.digest(messageByte);
            //转换为16进制字符串
            StringBuilder hexStr = new StringBuilder(md5Byte.length);
            int num;
            for (byte aByte : md5Byte) {
                num = aByte;
                if (num < 0) {
                    num += 256;
                }
                if (num < 16) {
                    hexStr.append("0");
                }
                hexStr.append(Integer.toHexString(num));
            }
            md5 =  hexStr.toString().toUpperCase();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return md5;
    }

  main测试

    /*
        ---模拟前两次密码错误,最后一次密码正确---
        密码已经输错1次,输错2次后帐号将会被锁定!
        密码已经输错2次,输错1次后帐号将会被锁定!
        1
        pwdFailedMap.size:0
        banTimeMap.size():0
        ---模拟前三次密码错误,最后一次密码正确---
        密码已经输错1次,输错2次后帐号将会被锁定!
        密码已经输错2次,输错1次后帐号将会被锁定!
        密码已经输错3次,帐号已被锁定,请5分钟后再登录系统!
        帐号已被锁定,请5分钟后再登录系统!
        pwdFailedMap.size:1
        banTimeMap.size():1
     */
    public static void main(String[] args) {
        PwdUtil pwdUtil = new PwdUtil();

        System.out.println("---模拟前两次密码错误,最后一次密码正确---");
        System.out.println(pwdUtil.login("zs","123451"));
        System.out.println(pwdUtil.login("zs","123452"));
        System.out.println(pwdUtil.login("zs","123456"));
        System.out.println("pwdFailedMap.size:"+pwdFailedMap.size());
        System.out.println("banTimeMap.size():"+banTimeMap.size());

        System.out.println("---模拟前三次密码错误,最后一次密码正确---");
        System.out.println(pwdUtil.login("zs","123453"));
        System.out.println(pwdUtil.login("zs","123454"));
        System.out.println(pwdUtil.login("zs","123455"));
        System.out.println(pwdUtil.login("zs","123456"));
        System.out.println("pwdFailedMap.size:"+pwdFailedMap.size());
        System.out.println("banTimeMap.size():"+banTimeMap.size());
    }

  base-admin整合

  base-admin是可以在设置中开启、关闭密码安全策略,因此在策略类中要先判断是否启用安全策略,如果系统不需要这个功能,可以不设置

  密码错误时,错误次数+1


  密码正确时,进一步校验是否已被锁定(密码错误次数达上限)


  登录成功后,清除用户错误次数,同时可以对密码过期时间进行校验,如果密码过期,可弹窗强制用户修改密码


  修改密码时,对新密码进行复杂度校验


  定时器,定时清除密码安全策略集合数据,以免死数据堆积占用内存

  整合效果演示

  连续输入3次错误密码,账号被锁定5分钟

  如果在被锁定时间内用正确密码尝试登陆仅提示账号被锁定,过了锁定时间方可继续登陆直到登陆成功

  如果在被锁定时间内继续用错误密码尝试登陆会不断更新锁定时间,过了锁定时间方可继续登陆直到登陆成功

  过了锁定时间方可继续登陆直到登陆成功

  登陆成功后检查密码过期时间,弹窗提示修改密码或强制修改密码

  后记

  密码安全策略暂时先记录到这,后续再进行补充

  代码开源

  代码已经开源、托管到我的GitHub、码云:

  GitHub:https://github.com/huanzi-qch/base-admin

  码云:https://gitee.com/huanzi-qch/base-admin

版权声明

作者:huanzi-qch

出处:https://www.cnblogs.com/huanzi-qch

若标题中有“转载”字样,则本文版权归原作者所有。若无转载字样,本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,否则保留追究法律责任的权利.



相关推荐

《亲爱的》特效真厉害,一块绿布贯彻全集,不得不佩服李现的演技

说起《亲爱的热爱的》这部电视剧,相信很多人并不陌生,这部电视剧让男演员李现因此爆红,其实李现是一个非常有潜力的男演员,他的表现也非常的精彩。但是大家都知道,在每一部电视剧中都有特效的存在,这部电视剧也...

充分运用AI特效,京剧电影《大唐贵妃》正式开机

“当唱到‘在天愿为比翼鸟,在地愿为连理枝’的时候,会从演员身后飞起一只巨大无比的比翼鸟,鸟在空中盘旋,刮起的风甚至会吹过角色的脸……”11月10日,电影《大唐贵妃》在上海车墩影视基地正式开机,这是第一...

工业光魔:没有PS的年代,特效怎么做?

大家好,我是戴着眼镜拿着话筒的阿拉斯加,片片。昨天,我给大家简单介绍了传奇特效公司——工业光魔的起源。...

价值13亿的“爽片”上映,每一帧都是钱砸出来的特效,却无缘国内

在七月二号的时候;美国在网络上面上映了一部大制作的“爽片”《明日之战》。...

影视特效是怎么制作出来的?来,一起体验吧!

电影是人们生活中不可缺少的一部分,是视觉与听觉相结合的现代艺术。悲剧、喜剧、亲情、友情、爱情都是它所能展现的内容。影视艺术有哪些独有的特征?什么是蒙太奇?全息影片又是什么意思?最近,少儿频道的一档节目...

ps五分钟学会自己制作“特效”

嗨,欢迎观看本期的摄影后期教学。那就是教大家一个特别炫酷,特别实用的ps“特效”光!有同学会问,“啊,特效光是不是特别难,我一点ps都不会!”咳咳不要着急,karry的教学都是针对ps零基础的同学的,...

抖音这个特效太扎心,无数网友看着看着就哭了……

2078年的你,会是什么样子?最近,抖音上一款特效火了。它可以让你看到自己从现在到2078年的容貌变化,你可以一点点看着皱纹爬上眼角,白发布满双鬓。看着看着,很多网友就哭了。有人说,一辈子很长却也很短...

《爱情公寓》的特效有多好?这集花了300万,网友看不出来特效

对于有些电视剧来说,特效那可是相当重要的一个部分了。尤其是对那些科幻片和一些玄幻类的电视剧就更加了。一部剧或者是影片特效的好坏,直接就影响了这个作品的质量。首先就让我们来看一下电视剧孤芳不自赏吧!里面...

窗花剪纸、鸭头滤镜、潜艇王者…… 揭秘抖音特效那些事儿

更多往期「Byte漫来了」系列漫画,可点击阅读:...

原来影视剧中的“光头”全是这样弄的 观众被骗了许多年

不管是电影还是电视剧,都会有光头因为是剧情的需要,那么她们的光头会是怎么弄的呢?一直都以为那些演员都是要真的剃光头,看到这些照片后,才知道深深的被骗了许多年。在影视中,常常看到演员有光头的戏,她在外出...

这些特效给几分?春晚舞台显示技术盘点

[中关村在线投影机频道原创]从1983年开始,春晚成为国人大年三十晚上最期待的一场精神盛宴。直播式节目播出方式,各类表演大师云集舞台,相声小品歌舞欢聚一堂,这是很多家庭一年中最欢乐的时刻,而春晚,则是...

11 款六元秒杀特效对比,哪个赢了不知道,貂蝉一眼输了

已经上线了11款六元秒杀皮肤,其中部分是升级后的“伴生皮”,也就是英雄的首款皮肤,首周六元之后恢复原价488点券。无论是何种形式的六元皮肤,不得不说他们的质量都非常好,这11款皮肤的特效对...

《半条命2 RTX》上架Steam 光追特效+4K效果

《半条命2RTX》现已在Steam平台正式上架,这款屡获殊荣的游戏以其沉浸式的故事、惊险的战斗和令人费解的物理特性吸引了全球数百万玩家,游戏现已经新增全面光追、物理纹理以及增强的多边形效果进行了彻底...

微信又有新玩法?多种好看特效可选择,赶快安排上

今日分享:手机特效适用系统:安卓今天小雷又发现了一个好玩的东西,就是手机加上特效也太好看了吧!早上上班的时候发现同事打开微信后,微信页面居然下起了樱花雨。看了同事的微信页面小雷我真的觉得太好玩太好看了...

判若两人!揭秘好莱坞的特效化妆过程

好莱坞的特效化妆牛到什么程度呢?可以把美人化妆成丑八怪,把黑人化妆成白人,把年轻人化妆成老人,把女人化妆成男人,把男人化妆成女人,把普通人化妆成怪物、外星人甚至异鬼……来见识一下这些神奇化妆术的“变...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表