两次MD5加密设计

/** 用于生成MD5 密码的工具类
 * */
public class Md5Util {
    public static String md5(String input){
        return DigestUtils.md5Hex(input);//注意导包为codec中的DigestUtils类
    }

    /*固定盐值*/
    private static final  String SALT = "1a2b3c4d";

    /** 第一次md5 ：
     * 用于 通过输入的密码生成 传输的密码 ：方法 通过固定盐值和明文密码之间的拼接在生成md5
     * @param password
     * @return
     */
    public static String inputPassToFormPass(String password){
        String str = ""+SALT.charAt(5)+SALT.charAt(4)+password+SALT.charAt(3)+SALT.charAt(2);
        return md5(str);
    }


    /**
     * 第二次md5 : 通过输入的密码和数据库随机盐值 继续生成 密码
     * @param input
     * @param salt
     * @return
     */
    public static String formPassToDBPass(String input,String salt){
        String str =""+ salt.charAt(0)+salt.charAt(2)+input+salt.charAt(5)+salt.charAt(4);
        return md5(str);
    }


    /**最终调用生成密码的方法
     * */
    public static String inputPassToDBPass(String password,String dbsalt){
        String FirstMd5 = inputPassToFormPass(password);
        String SecondMd5 = formPassToDBPass(FirstMd5,dbsalt);
        return SecondMd5;
    }

    public static void main(String[] args) {
        String pass = "123456";
        String salt = "1a2b3c4d";
        System.out.println(inputPassToDBPass(pass,salt));
    }
}

加密：出于安全考虑

第一次 （在前端加密，客户端）：密码加密是（明文密码+固定盐值）生成md5用于传输，目的，由于http是明文传输，当输入密码若直接发送服务端验证，此时被截取将直接获取到明文密码，获取用户信息。

加盐值是为了混淆密码，原则就是明文密码不能在网络上传输。

第二次：在服务端再次加密，当获取到前端发送来的密码后。通过MD5（密码+随机盐值）再次生成密码后存入数据库。

防止数据库被盗的情况下，通过md5反查，查获用户密码。方法是盐值会在用户登陆的时候随机生成，并存在数据库中，这个时候就会获取到。

第二次的目的：

黑客若是同时黑掉数据库，通过解析前端js文件，知道如果md5加密的过程，就知道此时用户的密码。

但是此时我们要是在后端加入随机盐值和传输密码的md5组合，黑客是无法知道通过后端密码加密过程的，从而无法知道密码。