应使用String.isBlank()或StringUtils.isBlank()校验账号密码是否为空白,密码需满足长度6–20位且至少含大小写字母、数字、特殊符号三类,存储必须加盐哈希(如BCrypt),校验须恒定时间比对,并模糊提示错误原因。
账号密码是否为空或空白字符
用户输入常包含空格、制表符或纯空字符串,直接调用 equals() 或 == 会误判。Java 中应优先用 String.isBlank()(JDK 11+)或 StringUtils.isBlank()(Apache Commons Lang),避免手动 trim().length() == 0 这类易出错写法。
-
isBlank()同时检查null、空串""和仅含空白字符(如"\t \n")的情况 - 若项目受限于 JDK 8,可用
StringUtils.isBlank(username),但需引入commons-lang3依赖 - 切勿用
username == null || username.equals("")—— 它无法识别" "这类带空格的非法输入
密码长度与字符类型校验逻辑
单纯限制“6–20位”不够安全,需强制包含大小写字母、数字、特殊符号中的至少三类。Java 原生不提供内置密码强度检测,需组合正则与逻辑判断。
public static boolean isValidPassword(String password) {
if (password == null || password.length() < 8 || password.length() > 20) return false;
boolean hasUpper = password.matches(".*[A-Z].*");
boolean hasLower = password.matches(".*[a-z].*");
boolean hasDigit = password.matches(".*\\d.*");
boolean hasSpecial = password.matches(".*[^a-zA-Z0-9\\s].*");
return (hasUpper ? 1 : 0) + (hasLower ? 1 : 0) + (hasDigit ? 1 : 0) + (hasSpecial ? 1 : 0) >= 3;
}
- 正则中
\\d必须双反斜杠,单写\d在字符串字面量中会报编译错误 - 特殊字符匹配用
[^a-zA-Z0-9\\s],注意排除空白符\\s,否则空格会被当成“特殊字符”通过校验 - 避免对每个规则都执行完整遍历(如用
password.chars().anyMatch(...)多次流操作),正则一次匹配更轻量
明文密码不能直接比对——必须加盐哈希存储
校验不是 inputPwd.equals(storedPwd)。数据库里存的必须是加盐哈希值,比如 BCrypt.hashpw("raw123", BCrypt.gensalt()) 生成的 a$... 字符串。
- 使用
BCrypt.checkpw(inputPassword, hashedFromDb)进行恒定时间比对,防止时序攻击 - 绝对不要自己实现 SHA-256 + 盐拼接再比对 —— BCrypt/PBKDF2/BcryptEncoder 已封装密钥派生、盐生成、抗 GPU 暴力等关键逻辑
- Spring Security 用户可直接用
PasswordEncoder.matches(),底层自动适配 BCrypt 或 SCrypt
校验失败时返回具体原因而非笼统提示
“用户名或密码错误”这种提示会帮攻击者枚举有效账号。生产环境应区分响应:账号不存在 vs 密码错误(但需保证响应时间一致)。
立即学习“Java免费学习笔记(深入)”;
- 先查账号是否存在(如
UserRepository.findByUsername(username)),若为null,统一返回“用户名或密码错误” - 若账号存在,再调用
passwordEncoder.matches();失败时仍返回相同提示,避免泄露账号有效性 -
前端不可依赖后端返回的详细错误字段(如
{"code":400,"msg":"密码长度不足8位"})做 UI 提示,那会暴露校验规则,应由前端做基础格式拦截,后端只做最终一致性校验
