本文详细介绍了如何在DAO层优化登录验证过程,实现账户和密码的独立验证,以提供更友好的用户体验。同时讨论了这一变化对安全性的影响,并提出了可能的解决方案。
dao层逻辑
dao层–这层以前是把,账户和密码直接一起验证,返回布尔值。
这次需求实现的是,账户不存在和密码错误分别提示。
虽然有方便客户的一部分作用,但是说实话,从安全的角度来看,hacker可以通过测试知道账户是否存在。当然,后期你可以加入次数限制,让他不能通过暴力枚举来猜到账户名字。
dao层的结构是初始化的时候,我在构造函数里面直接放了两条sql语句。然后拿了一个工具类里面的连接。下面是分别是账户和密码的分别验证的函数。
然后验证逻辑是在service层实现的,但是验证密码正确性的时候,需要用户输入的账户,因为当时想直接验证密码了,但是我们不能保证,密码的唯一性,所以还是得看下账户。
package com.jsp1.dao;
import com.csdn.DBUTil;
import com.sun.org.apache.xpath.internal.SourceTreeManager;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class LoginDao {
String sql1;
String sql2;
Connection connection=null;
public LoginDao() {
sql1 = "select * from admin where name=?;";
sql2 = "select * from admin where name=? and password=?;";
connection = DBUTil.connection();
}
public boolean findname(String sqlname) throws SQLException {
try {
PreparedStatement preparedStatement=connection.prepareStatement(sql1);
preparedStatement.setString(1,sqlname);
ResultSet set=preparedStatement.executeQuery();
if (set.next()){
System.out.println("账户存在");
return true;
}else {
System.out.println("账户不存在");
return false;
}
} catch (SQLException throwables) {
System.out.println("sql ");
throwables.printStackTrace();
}
return false;
}
public boolean findps(String sqlname, String sqlps) throws SQLException {
try {
PreparedStatement preparedStatement=connection.prepareStatement(sql2);
preparedStatement.setString(1,sqlname);
//强转换
preparedStatement.setInt(2, Integer.parseInt(sqlps));
ResultSet set=preparedStatement.executeQuery();
System.err.println("/t");
if (set.next()){
System.out.println("密码存在");
return true;
}
else{
return false;
}
} catch (SQLException throwables) {
System.out.println("sql ");
throwables.printStackTrace();
}finally {
DBUTil.close(connection);
}
return false;
}
}
service层
service逻辑很简单了就,创建一个实体化的dao层,然后分别调用里面的测试账户和测试密码的函数。
验证逻辑是,在账户正确的前提下,我再去验证密码正确性。
package com.jsp1.service;
import com.jsp1.dao.LoginDao;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.sql.SQLException;
/*
项目结构:
前端页面的设计:登陆表格
dao层:主要处理与数据库交互
service层 主要处理前端交互的业务
核心文件:
数据库配置文件--这次使用数据库连接池
web.xml 配置映射
pom 配置jar包
*/
public class LoginSevice extends HttpServlet {
//需求 登陆账号错误和密码错误分别提示
public void service(HttpServletRequest request, HttpServletResponse response) throws IOException {
// 格式 先设置
request.setCharacterEncoding("UTF-8");
response.setContentType("text/html;charset=utf-8");
// 流的引入
String name=request.getParameter("name");
String ps=request.getParameter("ps");
PrintWriter writer=response.getWriter();
//数据的对比查询
//调用dao层查询数据
try {
LoginDao loginDao=new LoginDao();
if (loginDao.findname(name))
{
if (loginDao.findps(name,ps)){
writer.write("<h1>登陆成功</h1>");
}else {
writer.write("<h1>密码错误,请重新输入</h1>");
}
}else {
writer.write("<h1>账户不存在,请输入正确账户名</h1>");
}
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
扫一扫
814
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
