当前位置：首页 > article >正文

别再硬编码密码了！用Java+MySQL实现超市收银系统登录模块（附完整源码）

article 2026/4/15 17:54:55

从零构建安全可靠的超市收银系统登录模块Java与MySQL实战指南超市收银系统作为零售业的核心工具其安全性往往被初学者忽视。想象一下当收银员输入用户名和密码时这些敏感信息如果以明文形式存储在数据库或代码中会带来怎样的风险本文将带你从零开始用Java和MySQL构建一个真正安全可靠的登录模块。1. 为什么硬编码密码是致命错误很多初学者在开发登录功能时为了图方便直接在代码中写入用户名和密码。这种看似简单的做法实际上埋下了巨大的安全隐患。让我们看一个典型的反面案例// 危险示范硬编码验证 if(username.equals(admin) password.equals(123456)) { // 登录成功 }这种代码至少有三大致命问题源代码泄露风险一旦代码被获取所有账户信息立即暴露修改成本高每次修改密码都需要重新编译部署权限管理缺失无法区分不同角色的操作权限更糟糕的是有些开发者虽然使用了数据库但却以明文存储密码-- 不安全的数据表设计 CREATE TABLE users ( username VARCHAR(50), password VARCHAR(50) -- 明文存储密码 );2. 安全登录模块的核心设计2.1 数据库层的安全加固首先我们需要设计一个安全的用户表结构CREATE TABLE users ( id INT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50) UNIQUE NOT NULL, password_hash CHAR(64) NOT NULL, -- SHA-256哈希值 salt CHAR(32) NOT NULL, -- 随机盐值 display_name VARCHAR(100), role ENUM(admin, cashier, inventory) NOT NULL, last_login DATETIME, failed_attempts INT DEFAULT 0, is_locked BOOLEAN DEFAULT FALSE, created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ) ENGINEInnoDB DEFAULT CHARSETutf8mb4;关键安全特性密码哈希使用SHA-256等加密算法存储密码盐值加密为每个用户生成唯一盐值防止彩虹表攻击账户锁定多次失败尝试后自动锁定账户角色权限明确的角色划分便于权限控制2.2 Java实现密码加密在Java中我们可以使用MessageDigest类实现安全的密码哈希import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.util.Base64; public class SecurityUtil { private static final SecureRandom RANDOM new SecureRandom(); public static String generateSalt() { byte[] salt new byte[16]; RANDOM.nextBytes(salt); return Base64.getEncoder().encodeToString(salt); } public static String hashPassword(String password, String salt) { try { MessageDigest md MessageDigest.getInstance(SHA-256); md.update(salt.getBytes()); byte[] hashedPassword md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } catch (NoSuchAlgorithmException e) { throw new RuntimeException(加密算法不可用, e); } } }3. 防SQL注入的数据库操作使用PreparedStatement是防止SQL注入的基本要求但我们可以做得更好3.1 改进的DBUtil类public class DBUtil { private static final String DB_URL jdbc:mysql://localhost:3306/supermarket; private static final String DB_USER app_user; private static final String DB_PASSWORD secure_password; private static DataSource dataSource; static { try { HikariConfig config new HikariConfig(); config.setJdbcUrl(DB_URL); config.setUsername(DB_USER); config.setPassword(DB_PASSWORD); config.setMaximumPoolSize(10); config.setConnectionTimeout(30000); dataSource new HikariDataSource(config); } catch (Exception e) { throw new RuntimeException(数据库连接池初始化失败, e); } } public static Connection getConnection() throws SQLException { return dataSource.getConnection(); } public static void close(Connection conn, Statement stmt, ResultSet rs) { // 关闭资源的实现 } }关键改进使用连接池HikariCP提供高性能的数据库连接管理专用数据库用户避免使用root账户限制权限资源管理确保所有数据库资源都被正确关闭3.2 安全的用户认证实现public class UserDAO { private static final String SQL_AUTHENTICATE SELECT id, username, password_hash, salt, role, display_name, failed_attempts, is_locked FROM users WHERE username ?; public static User authenticate(String username, String password) throws AuthenticationException { try (Connection conn DBUtil.getConnection(); PreparedStatement stmt conn.prepareStatement(SQL_AUTHENTICATE)) { stmt.setString(1, username); ResultSet rs stmt.executeQuery(); if (!rs.next()) { throw new AuthenticationException(用户名或密码错误); } if (rs.getBoolean(is_locked)) { throw new AuthenticationException(账户已被锁定请联系管理员); } String storedHash rs.getString(password_hash); String salt rs.getString(salt); String inputHash SecurityUtil.hashPassword(password, salt); if (!storedHash.equals(inputHash)) { updateFailedAttempts(rs.getInt(id), rs.getInt(failed_attempts) 1); throw new AuthenticationException(用户名或密码错误); } // 认证成功重置失败计数 updateFailedAttempts(rs.getInt(id), 0); return new User( rs.getInt(id), rs.getString(username), rs.getString(display_name), rs.getString(role) ); } catch (SQLException e) { throw new RuntimeException(数据库错误, e); } } private static void updateFailedAttempts(int userId, int attempts) { // 更新失败尝试次数的实现 } }4. 用户界面与安全实践4.1 控制台登录实现public class LoginConsole { private static final int MAX_ATTEMPTS 3; public static void main(String[] args) { Scanner scanner new Scanner(System.in); int attempts 0; while (attempts MAX_ATTEMPTS) { System.out.print(用户名: ); String username scanner.nextLine(); System.out.print(密码: ); String password scanner.nextLine(); try { User user UserDAO.authenticate(username, password); System.out.println(登录成功! 欢迎, user.getDisplayName()); // 根据角色进入不同系统模块 if (admin.equals(user.getRole())) { AdminConsole.start(); } else { CashierConsole.start(); } return; } catch (AuthenticationException e) { attempts; System.out.println(e.getMessage()); System.out.println(剩余尝试次数: (MAX_ATTEMPTS - attempts)); } } System.out.println(超过最大尝试次数系统退出); System.exit(1); } }4.2 安全最佳实践清单密码策略强制8位以上复杂度定期更换密码禁止使用常见弱密码会话管理设置合理的会话超时注销时清除会话使用HTTPS传输敏感数据日志记录记录所有登录尝试监控异常登录模式定期审计日志5. 进阶安全措施5.1 二次验证实现对于管理员账户我们可以增加短信或邮箱验证public class TwoFactorAuth { public static String generateOTP() { int otp 100000 RANDOM.nextInt(900000); return String.valueOf(otp); } public static boolean verifyOTP(String code, String storedCode) { return code.equals(storedCode); } }5.2 密码重置安全流程public class PasswordResetService { private static final long TOKEN_EXPIRE_HOURS 2; public static String generateResetToken(String username) { // 生成唯一令牌并设置过期时间 } public static boolean isValidToken(String token) { // 验证令牌有效性和过期时间 } public static void resetPassword(String token, String newPassword) { // 安全地重置密码 } }6. 性能与安全的平衡安全措施往往会带来性能开销我们需要找到平衡点安全措施性能影响缓解方案密码哈希中等选择适当强度的算法连接池低合理配置连接数账户锁定低异步记录失败尝试日志记录中等使用异步日志系统在实际项目中我遇到过因为过度加密导致登录响应变慢的情况。后来通过以下优化解决了问题将SHA-512降级为SHA-256仍足够安全使用专门的加密硬件加速对认证请求进行缓存处理7. 完整项目结构与部署建议的项目结构supermarket-cashier/ ├── src/ │ ├── main/ │ │ ├── java/ │ │ │ ├── com/ │ │ │ │ ├── supermarket/ │ │ │ │ │ ├── auth/ # 认证相关 │ │ │ │ │ ├── dao/ # 数据访问 │ │ │ │ │ ├── model/ # 数据模型 │ │ │ │ │ ├── service/ # 业务逻辑 │ │ │ │ │ ├── util/ # 工具类 │ │ │ │ │ └── Main.java # 入口 │ │ ├── resources/ │ │ │ ├── db/ │ │ │ │ └── migration/ # 数据库迁移脚本 │ │ │ └── application.properties ├── pom.xml部署注意事项数据库隔离收银系统使用独立的数据库实例网络隔离收银终端与后台系统分离部署定期备份自动化数据库备份策略最小权限应用程序使用专用数据库账户8. 常见问题与调试技巧在开发过程中我总结了一些常见问题及解决方法连接池耗尽检查是否有未关闭的连接适当增加连接池大小使用连接泄漏检测认证性能问题// 使用缓存减轻数据库压力 Cacheable(value userCache, key #username) public User getUserByUsername(String username) { // 数据库查询 }密码编码不一致确保所有环境使用相同的编码(UTF-8)在哈希前规范化密码字符串记录详细的错误日志时间不同步问题使用NTP同步服务器时间数据库和应用服务器时区一致在日志中记录带时区的时间戳9. 从开发到生产的安全检查清单在将系统部署到生产环境前请确保[ ] 所有默认密码已更改[ ] 数据库不包含测试账户[ ] 错误消息不泄露敏感信息[ ] 启用了数据库连接加密[ ] 实现了定期密码轮换策略[ ] 配置了适当的防火墙规则[ ] 建立了数据备份机制[ ] 设置了操作审计日志10. 持续改进与学习资源安全是一个持续的过程推荐以下资源保持更新OWASP Top 10了解最常见的Web应用安全风险Java安全编码指南Oracle官方的安全编码实践密码学更新关注被破解的算法和新的安全标准安全社区参与本地安全Meetup或线上论坛在项目中引入自动化安全扫描工具也是不错的选择# 使用OWASP Dependency-Check检查依赖漏洞 mvn org.owasp:dependency-check-maven:check记住没有绝对安全的系统但通过实施这些最佳实践我们可以显著降低风险为超市收银系统构建一个坚固的安全基础。

别再硬编码密码了！用Java+MySQL实现超市收银系统登录模块（附完整源码）

相关文章：

别再硬编码密码了！用Java+MySQL实现超市收银系统登录模块（附完整源码）

用Python分析波场(TRON)链哈希值：一个数据科学小白的实战入门项目（附完整代码）

深度解析Draw.io Obsidian插件：5步构建可视化知识管理新范式

解决国密SM2算法实现中的常见报错问题

如何永久备份微信聊天记录：WeChatMsg完整解决方案指南

如何解决下载速度慢和视频保存难题：Xtreme Download Manager实战指南

efinance：Python量化交易数据获取的终极解决方案

R语言数据清理实战：janitor包的高效管道操作指南

避开LoRa模块干扰：LLCC68双模块半双工通信的硬件布局与软件避坑指南

从Markdown到专业演示文稿：md2pptx如何重构技术文档的呈现逻辑

Toppra实战：机器人运动规划中的时间最优轨迹优化

如何快速配置Android虚拟定位：FakeLocation终极完整指南

3个核心技术突破：BDD100K如何重新定义自动驾驶感知训练范式

别再只把n8n当自动化工具了！手把手教你用它的Agent节点，给飞书做个AI日程新闻播报员

如何免费下载百度文库文档：3分钟快速获取完整指南

从Windows到GEC6818开发板：手把手教你用VMware+Ubuntu搭建嵌入式交叉编译环境（含SecureCRT连接避坑）

Cisco Packet Tracer 6.2 汉化指南 | 计算机网络学习利器

魔兽争霸3兼容性完整解决方案：WarcraftHelper实用工具指南

告别期刊投稿盲目试错！Paperxie AI 期刊写作助手，一键匹配核心 / SCI 录用标准

2026 论文双降终极榜单：10 大 AI 工具，查重降重 + AIGC 消痕一次通关

期刊论文写作 “开挂” 指南：Paperxie AI，从 0 到 1 搞定学术发表

【CCNA网络】如何根据传输需求选择多模光纤(MMF)与单模光纤(SMF)？

AutoSubs完全手册：从零到精通的AI字幕生成终极指南

Windows Defender彻底移除完整指南：3种模式解决系统卡顿与性能问题

完全免费跨平台音乐播放器LX Music桌面版终极使用指南

工业 AI 产品对比：研发与生产场景选型思路解析

【异常解决】JDK21升级中SecurityException: JCE无法验证BC提供者的深度解析

电赛小白避坑指南：用STM32F103C8T6+L298N驱动板搞定蓝牙遥控循迹小车的完整硬件清单与接线图

Move Mouse终极指南：告别电脑自动休眠的完整解决方案

UE5 UI控件实战指南 —— 从基础到高级布局技巧