1. 介绍

Passay 是一个功能强大且灵活的密码生成和验证工具,它支持自定义密码规则、字典检查和错误消息自定义等功能

2. 添加 Passay 依赖

首先,你需要在你的项目中添加 Passay 库的依赖。如果你使用 Maven,可以在 pom.xml 文件中添加以下依赖:

1
2
3
4
5
<dependency>
    <groupId>org.passay</groupId>
    <artifactId>passay</artifactId>
    <version>1.6.0</version> <!-- 请根据需要选择最新版本 -->
</dependency>

3. 生成密码

可以用来生成符合安全要求的密码。例如,生成一个长度为 12 的密码,包含字母、数字和特殊字符:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import org.passay.*;

public class PasswordGeneratorExample {
    public static void main(String[] args) {
        PasswordGenerator generator = new PasswordGenerator();
        CharacterRules rules = new CharacterRules();
        
        // 定义密码规则:必须包含字母、数字和特殊字符
        RuleCharacterRule lowerCaseRule = new RuleCharacterRule(EnglishCharacterData.LowerCase);
        RuleCharacterRule upperCaseRule = new RuleCharacterRule(EnglishCharacterData.UpperCase);
        RuleCharacterRule digitRule = new RuleCharacterRule(EnglishCharacterData.Digit);
        RuleCharacterRule specialCharRule = new RuleCharacterRule(EnglishCharacterData.Special);

        // 定义密码的长度和规则
        PasswordData password = generator.generatePassword(12, lowerCaseRule, upperCaseRule, digitRule, specialCharRule);
        
        System.out.println("Generated Password: " + password);
    }
}

4. 验证密码

Passay 还可以用来验证一个密码是否符合特定的安全标准。以下是验证密码是否符合规则的例子:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
import org.passay.*;

import java.util.Arrays;

public class PasswordValidationExample {
    public static void main(String[] args) {
        PasswordValidator validator = new PasswordValidator(Arrays.asList(
            new LengthRule(8, 16), // 密码长度要求 8 到 16 个字符
            new CharacterRule(EnglishCharacterData.UpperCase, 1), // 至少包含 1 个大写字母
            new CharacterRule(EnglishCharacterData.LowerCase, 1), // 至少包含 1 个小写字母
            new CharacterRule(EnglishCharacterData.Digit, 1), // 至少包含 1 个数字
            new CharacterRule(EnglishCharacterData.Special, 1) // 至少包含 1 个特殊字符
        ));

        String passwordToValidate = "Test123!"; // 需要验证的密码

        RuleResult result = validator.validate(new PasswordData(passwordToValidate));

        if (result.isValid()) {
            System.out.println("Password is valid.");
        } else {
            System.out.println("Password is invalid.");
        }
    }
}

5. 定制规则

你可以自定义更多的规则,比如要求密码至少包含一个特定的字符集,或者自定义的规则。Passay 提供了很多内置的规则,比如:

  • LengthRule: 密码长度规则。
  • CharacterRule: 要求密码至少包含一个特定类型的字符(大写字母、小写字母、数字、特殊字符等)。
  • DictionaryRule: 检查密码是否包含常见的词汇或字典中的词。
  • RejectedCharacterRule: 禁止密码中出现特定的字符。

    6. 基本验证

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    import org.passay.*;

    import java.util.Arrays;

    public class CustomMessageExample {
        public static void main(String[] args) {
            PasswordValidator validator = new PasswordValidator(Arrays.asList(
                new LengthRule(8, 16), 
                new CharacterRule(EnglishCharacterData.UpperCase, 1),
                new CharacterRule(EnglishCharacterData.LowerCase, 1),
                new CharacterRule(EnglishCharacterData.Digit, 1),
                new CharacterRule(EnglishCharacterData.Special, 1)
            ));

            String passwordToValidate = "Test123"; // 不符合规则的密码

            RuleResult result = validator.validate(new PasswordData(passwordToValidate));

            if (result.isValid()) {
                System.out.println("Password is valid.");
            } else {
                System.out.println("Password is invalid.");
            }
        }
    }

6. 更复杂的验证(如字典检查)

Passay 还可以集成字典检查,确保密码不是常见的单词或者太简单的组合。你可以使用 DictionaryRule 来增强密码的安全性,避免常见的密码如 password123qwerty

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
import org.passay.*;

import java.util.Arrays;

public class DictionaryRuleExample {
    public static void main(String[] args) {
        PasswordValidator validator = new PasswordValidator(Arrays.asList(
            new LengthRule(8, 16),
            new CharacterRule(EnglishCharacterData.UpperCase, 1),
            new CharacterRule(EnglishCharacterData.LowerCase, 1),
            new CharacterRule(EnglishCharacterData.Digit, 1),
            new CharacterRule(EnglishCharacterData.Special, 1),
            new DictionaryRule("path/to/dictionary.txt") // 字典文件路径
        ));

        String passwordToValidate = "password123"; // 这是一个常见密码

        RuleResult result = validator.validate(new PasswordData(passwordToValidate));

        if (result.isValid()) {
            System.out.println("Password is valid.");
        } else {
            System.out.println("Password is invalid.");
        }
    }
}

场景:电商平台用户注册和密码修改

在实际开发中,Passay 库通常会应用于需要确保用户密码安全性较高的场景。用户注册和修改密码的安全性验证

假设你正在开发一个电商平台,用户可以在平台上注册账户并设置密码。为了确保账户的安全性,你希望对用户输入的密码进行验证,确保密码符合一定的复杂度要求,例如:

  • 密码长度:8 到 16 个字符
  • 至少包含一个大写字母
  • 至少包含一个小写字母
  • 至少包含一个数字
  • 至少包含一个特殊字符(如 !@#$%^&*()

此外,你还希望避免常见的弱密码(如 password123123456)。

需求:

  1. 在用户注册时,检查用户提供的密码是否符合上述规则。
  2. 在用户修改密码时,也需要进行同样的验证。
  3. 如果密码不符合要求,向用户显示详细的错误信息,指导其修改密码。

解决方案:使用 Passay 进行密码验证

我们可以使用 Passay 库来验证用户输入的密码是否符合安全要求。在以下示例中,我们将演示如何使用 Passay 实现用户注册和密码修改时的密码验证功能。

示例代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
import org.passay.*;

import java.util.Arrays;
import java.util.List;

public class PasswordValidationService {
    
    // 定义密码验证规则
    private static PasswordValidator createPasswordValidator() {
        return new PasswordValidator(Arrays.asList(
            new LengthRule(8, 16), // 密码长度要求 8 到 16 个字符
            new CharacterRule(EnglishCharacterData.UpperCase, 1), // 至少包含 1 个大写字母
            new CharacterRule(EnglishCharacterData.LowerCase, 1), // 至少包含 1 个小写字母
            new CharacterRule(EnglishCharacterData.Digit, 1), // 至少包含 1 个数字
            new CharacterRule(EnglishCharacterData.Special, 1), // 至少包含 1 个特殊字符
            new DictionaryRule("common-passwords.txt") // 检查密码是否是常见密码
        ));
    }

    // 验证密码的方法
    public static List<String> validatePassword(String password) {
        PasswordValidator validator = createPasswordValidator();
        RuleResult result = validator.validate(new PasswordData(password));

        if (result.isValid()) {
            return null; // 密码有效
        } else {
            // 返回所有错误信息
            return result.getMessages();
        }
    }

    // 模拟用户注册
    public static void registerUser(String username, String password) {
        List<String> validationErrors = validatePassword(password);
        if (validationErrors == null) {
            System.out.println("用户 " + username + " 注册成功,密码符合安全要求!");
        } else {
            System.out.println("用户 " + username + " 注册失败,密码不符合要求:");
            validationErrors.forEach(System.out::println);
        }
    }

    // 模拟用户修改密码
    public static void changePassword(String username, String newPassword) {
        List<String> validationErrors = validatePassword(newPassword);
        if (validationErrors == null) {
            System.out.println("用户 " + username + " 密码修改成功,密码符合安全要求!");
        } else {
            System.out.println("用户 " + username + " 密码修改失败,密码不符合要求:");
            validationErrors.forEach(System.out::println);
        }
    }

    public static void main(String[] args) {
        // 模拟用户注册
        registerUser("john_doe", "Passw0rd!"); // 正确的密码
        registerUser("jane_doe", "password123"); // 错误的密码(常见密码)

        // 模拟用户修改密码
        changePassword("john_doe", "NewPass!123"); // 正确的密码
        changePassword("jane_doe", "123456"); // 错误的密码(数字密码)
    }
}

说明

  1. createPasswordValidator 方法
    该方法创建了一个 PasswordValidator 实例,指定了一些密码验证规则,包括密码长度、字符类型和字典检查。你可以根据实际需求添加或修改规则,例如添加对密码历史的检查、IP 地理位置限制等。

  2. validatePassword 方法
    这个方法用来验证用户输入的密码。如果密码符合所有规则,则返回 null,否则返回一系列错误消息,告诉用户密码不符合哪些要求。

  3. registerUserchangePassword 方法
    这些方法模拟了用户在注册和修改密码时的操作。在实际项目中,这些方法通常会在用户提交注册表单或修改密码时被调用。密码验证失败时,系统会返回错误信息,告知用户具体的密码要求。

  4. 字典文件
    DictionaryRule 用于检查密码是否是常见的弱密码。你可以下载一些常见密码的字典文件,放在项目中进行验证(如 common-passwords.txt)。这个文件包含了一些常见密码,如 123456, password, qwerty 等。Passay 会检查用户输入的密码是否属于这些常见密码。

输出示例

1
2
3
4
5
6
7
8
9
10
用户 john_doe 注册成功,密码符合安全要求!
用户 jane_doe 注册失败,密码不符合要求:
Password must not be one of the common passwords
用户 john_doe 密码修改成功,密码符合安全要求!
用户 jane_doe 密码修改失败,密码不符合要求:
Password must be between 8 and 16 characters long
Password must contain at least one uppercase character
Password must contain at least one lowercase character
Password must contain at least one digit
Password must contain at least one special character

实际应用场景总结

  • 用户注册:当用户注册时,系统会验证用户输入的密码,确保密码的强度和安全性。如果密码不符合要求,系统会详细列出错误信息,指导用户修改密码。
  • 密码修改:用户修改密码时,也会进行相同的验证,防止用户设置简单、弱的密码,确保账户的安全。
  • 防止常见密码:使用字典规则可以避免用户设置过于简单或常见的密码,从而提升账户安全性。

在实际开发中,Passay 可以非常方便地与用户认证系统(如 Spring Security)结合使用,确保密码符合安全要求,提高系统的安全性和用户体验。