其他分享
首页 > 其他分享> > day67(Lombok框架,Slf4j日志框架,密码加密,控制层开发)

day67(Lombok框架,Slf4j日志框架,密码加密,控制层开发)

作者:互联网

day67(Lombok框架,Slf4j日志框架,密码加密,控制层开发)

1. 使用Lombok框架

1.往常做法

  1. 在编写POJO类型(包括实体类、VO、DTO等)时,都有统一的编码规范,例如:

另外,为了便于观察对象的各属性值,通常还会重写toString()方法。

由于以上操作方式非常固定,且涉及的代码量虽然不难,但是篇幅较长,并且,当类中的属性需要修改时(包括修改原有属性、或增加新属性、删除原有属性),对应的其它方法都需要修改(或重新生成),管理起来比较麻烦。

2.使用Lombok框架

使用Lombok框架可以极大的简化这些操作,此框架可以通过注解的方式,在编译期来生成Setters & Getters、equals()hashCode()toString(),甚至生成构造方法等,所以,一旦使用此框架,开发人员就只需要在类中声明各属性、实现Serializable、添加Lombok指定的注解即可。

在Spring Boot中,添加Lombok依赖,可以在创建项目时勾选,也可以后期自行添加,依赖项的代码为:

<dependency>
   <groupId>org.projectlombok</groupId>
   <artifactId>lombok</artifactId>
   <optional>true</optional>
</dependency>

完成后,在各POJO类型中,将不再需要在源代码添加Setters & Getters、equals()hashCode()toString()这些方法,只需要在POJO类上添加@Data注解即可!

当添加@Data注解,且删除相关方法后,由于源代码中没有相关方法,则调用了相关代码的方法可能会报错,但是,并不影响程序运行!

2. Slf4j日志框架

  1. 在开发实践中,不允许使用System.out.println()或类似的输出语句来输出显示关键数据(核心数据、敏感数据等),因为,如果是这样使用,无论是在开发环境,还是测试环境,还是生产环境中,这些输出语句都将输出相关信息,而删除或添加这些输出语句的操作成本比较高,操作可行性低。

  2. 推荐的做法是使用日志框架来输出相关信息!

    1. 当添加了Lombok依赖后,可以在需要使用日志的类上添加@Slf4j注解,然后,在类的任意中,均可使用名为log的变量,且调用其方法来输出日志(名为log的变量也是Lombok框架在编译期自动补充的声明并创建对象)!

    2. 在Slf4j日志框架中,将日志的可显示级别根据其重要程度(严重程度)由低到高分为:

    • trace:跟踪信息

    • debug:调试级别

    • info:一般信息,通常不涉及关键流程和敏感信息

    • warn:警告信息,通常代码可以运行,但不够完美,规范

    • error:错误信息

    1. 在配置文件中,可以通过logging.level.包名.类名来设置当前类的日志显示级别,例如:

    logging.level.cn.tedu.boot.demo.service.impl.AdminServiceImpl: info
    1. 当设置了显示的日志级别后,仅显示设置级别和更重要的级别的日志,例如,设置为info时,只显示infowarnerror,不会显示debugtrace级别的日志!

    2. 当输出日志时,通过log变量调用trace()方法输出的日志就是trace级别的,调用debug()方法输出的日志就是debug()级别的,以此类推,可调用的方法还有info()warn()error()

    3. 在开发实践中,关键数据和敏感数据都应该通过trace()debug()进行输出,在开发环境中,可以将日志的显示级别设置为trace,则会显示所有日志,当需要交付到生产环境中时,只需要将日志的显示级别调整为info即可!

    4. 默认情况下,日志的显示级别是info, 显示infowarnerror,不会显示debugtrace级别的日志!

    5. 当输出日志时,通过log变量调用trace()方法输出的日志就是trace级别的,调用debug()方法输出的日志就是debug()级别的,以此类推,可调用的方法还有info()warn()error()

    6. 在开发实践中,关键数据和敏感数据都应该通过trace()debug()进行输出,在开发环境中,可以将日志的显示级别设置为trace,则会显示所有日志,当需要交付到生产环境中时,只需要将日志的显示级别调整为info即可!

      默认情况下,日志的显示级别是info,所以,即使没有在配置文件中进行正确的配置,所有info、warn、error级别的日志都会输出显示。

      在配置时,属性名称中的logging.level部分是必须的,在其后,必须写至少1级包名,例如:

      logging.level.cn: trace

      以上配置表示cn包及其子孙包下的所有类中的日志都按照trace级别进行显示!

      在开发实践中,属性名称通常配置为logging.level.项目根包,例如:

      logging.level.cn.tedu.boot.demo: trace

      在使用Slf4j时,通过log调用的每种级别的方法都被重载了多次(各级别对应除了方法名称不同,重载的次数和参数列表均相同),推荐使用的方法是参数列表为(String format, Object... arguments)的,例如:

      public void trace(String format, Object... arguments);
      public void debug(String format, Object... arguments);
      public void info(String format, Object... arguments);
      public void warn(String format, Object... arguments);
      public void error(String format, Object... arguments);

      以上方法中,第1个参数是将要输出的字符串的模式(模版),在此字符串中,如果需要包含某个变量值,则使用{}表示,如果有多个变量值,均是如此,然后,再通过第2个参数(是可变参数)依次表示各{}对应的值,例如:

      log.debug("加密前的密码:{},加密后的密码:{}", password, encodedPassword);

      使用这种做法,可以避免多变量时频繁的拼接字符串,另外,日志框架会将第1个参数进行缓存,以此提高后续每一次的执行效率。

      在开发实践中,应该对程序执行关键位置添加日志的输出,通常包括:

      • 每个方法的第1行有效语句,表示代码已经执行到此方法内,或此方法已经被成功调用

        • 如果方法是有参数的,还应该输出参数的值

      • 关键数据或核心数据在改变之前和之后

        • 例如对密码加密时,应该通过日志输出加密前和加密后的密码

      • 重要的操作执行之前

        • 例如尝试插入数据之前、修改数据之前,应该通过日志输出相关值

      • 程序走到某些重要的分支时

        • 例如经过判断,走向抛出异常之前

      其实,Slf4j日志框架只是日志的一种标准,并不是具体的实现(感觉上与Java中的接口有点相似),常见有具体实现了日志功能的框架有log4j、logback等,为了统一标准,所以才出现了Slf4j,同时,由于log4j、logback等框架实现功能并不统一,所以,Slf4j提供了对主流日志框架的兼容,在Spring Boot工程中,spring-boot-starter就已经依赖了spring-boot-starter-logging,而在此依赖下,通常包括Slf4j、具体的日志框架、Slf4j对具体日志框架的兼容。

3.密码加密

【这并不是Spring Boot框架的知识点】

1.作用

对密码进行加密,可以有效的保障密码安全,即使出现数据库泄密,密码安全也不会受到影响!为了实现此目标,需要在对密码进行加密时,使用不可逆的算法进行处理!

通常,不可以使用加密算法对密码进行加密码处理,从严格定义上来看,所有的加密算法都是可以逆向运算的,即同时存在加密和解密这2种操作,加密算法只能用于保证传输过程的安全,并不应该用于保证需要存储下来的密码的安全!

哈希算法都是不可逆的,通常,用于处理密码加密的算法中,典型的是一些消息摘要算法,例如MD5、SHA256或以上位数的算法。

2.消息摘要

消息摘要算法的主要特征有:

在消息摘要算法中,以MD5为例,其运算结果是一个128位长度的二进制数,通常会转换成十六进制数显示,所以是32位长度的十六进制数,MD5也被称之为128位算法。理论上,会存在2的128次方种类的摘要结果,且对应2的128次方种不同的消息,如果在未超过2的128次方种消息中,存在2个或多个不同的消息对应了相同的摘要,则称之为:发生了碰撞。一个消息摘要算法是否安全,取决其实际的碰撞概率,关于消息摘要算法的破解,也是研究其碰撞概率。

存在穷举消息和摘要的对应关系,并利用摘要在此对应关系进行查询,从而得知消息的做法,但是,由于MD5是128位算法,全部穷举是不可能实现的,所以,只要原始密码(消息)足够复杂,就不会被收录到所记录的对应关系中去!

3.盐

为了进一步提高密码的安全性,在使用消息摘要算法进行处理时,通常还会加盐!盐值可以是任意的字符串,用于与密码一起作为被消息摘要算法运算的数据即可,例如:

@Test
public void md5Test() {
  String rawPassword = "123456";
  String salt = "kjfcsddkjfdsajfdiusf8743urf";
  String encodedPassword = DigestUtils.md5DigestAsHex(
          (salt + salt + rawPassword + salt + salt).getBytes());
  System.out.println("原密码:" + rawPassword);
  System.out.println("加密后的密码:" + encodedPassword);
}

加盐的目的是使得被运算数据变得更加复杂,盐值本身和用法并没有明确要求!

甚至,在某些用法或算法中,还会使用随机的盐值,则可以使用完全相同的原消息对应的摘要却不同!

推荐了解:预计算的哈希链、彩虹表、雪花算法。

为了进一步保证密码安全,还可以使用多重加密,即反复调用消息摘要算法。

除此以外,还可以使用安全系数更高的算法,例如SHA-256是256位算法,SHA-384是384位算法,SHA-512是512位算法。

4.应用

一般的应用方式可以是:

public class PasswordEncoder {

   public String encode(String rawPassword) {
       // 加密过程
       // 1. 使用MD5算法
       // 2. 使用随机的盐值
       // 3. 循环5次
       // 4. 盐的处理方式为:盐 + 原密码 + 盐 + 原密码 + 盐
       // 注意:因为使用了随机盐,盐值必须被记录下来,本次的返回结果使用$分隔盐与密文
       String salt = UUID.randomUUID().toString().replace("-", "");
       String encodedPassword = rawPassword;
       for (int i = 0; i < 5; i++) {
           encodedPassword = DigestUtils.md5DigestAsHex(
                  (salt + encodedPassword + salt + encodedPassword + salt).getBytes());
      }
       return salt + encodedPassword;
  }

   public boolean matches(String rawPassword, String encodedPassword) {
       String salt = encodedPassword.substring(0, 32);
       String newPassword = rawPassword;
           for (int i = 0; i < 5; i++) {
               newPassword = DigestUtils.md5DigestAsHex(
                      (salt + newPassword + salt + newPassword + salt).getBytes());
      }
       newPassword = salt + newPassword;
       return newPassword.equals(encodedPassword);
  }

}

4.控制器层开发

pring MVC是用于处理控制器层开发的,在使用Spring Boot时,在pom.xml中添加spring-boot-starter-web即可整合Spring MVC框架及相关的常用依赖项(包含jackson-databind),可以将已存在的spring-boot-starter直接改为spring-boot-starter-web,因为在spring-boot-starter-web中已经包含了spring-boot-starter

先在项目的根包下创建controller子包,并在此子包下创建AdminController,此类应该添加@RestController@RequestMapping(value = "/admins", produces = "application/json; charset=utf-8")注解,例如:

@RestController
@RequestMapping(values = "/admins", produces = "application/json; charset=utf-8")
public class AdminController {
    
}

由于已经决定了服务器端响应时,将响应JSON格式的字符串,为保证能够响应JSON格式的结果,处理请求的方法返回值应该是自定义的数据类型,则从此前学习的spring-mvc项目中找到JsonResult类及相关类型,复制到当前项目中来。

接下来,即可在AdminController中添加处理“增加管理员”的请求:

@Autowired
private IAdminService adminService;

// 注意:暂时使用@RequestMapping,不要使用@PostMapping,以便于直接在浏览器中测试
// http://localhost:8080/admins/add-new?username=root&password=1234
@RequestMapping("/add-new") 
public JsonResult<Void> addNew(AdminAddNewDTO adminAddNewDTO) {
    adminService.addNew(adminAddNewDTO);
    return JsonResult.ok();
}

完成后,运行启动类,即可启动整个项目,在spring-boot-starter-web中,包含了Tomcat的依赖项,在启动时,会自动将当前项目打包并部署到此Tomcat上,所以,执行启动类时,会执行此Tomcat,同时,因为是内置的Tomcat,只为当前项目服务,所以,在将项目部署到Tomcat时,默认已经将Context Path(例如spring_mvc_war_exploded)配置为空字符串,所以,在启动项目后,访问的URL中并没有此前遇到的Context Path值。

当项目启动成功后,即可在浏览器的地址栏中输入网址进行测试访问!

注意:如果是未添加的管理员账号,可以成功执行结束,如果管理员账号已经存在,由于尚未处理异常,会提示500错误。

标签:String,框架,Slf4j,密码,算法,day67,trace,日志,salt
来源: https://www.cnblogs.com/xiaoyezilei/p/16350539.html