必须避免用 equals() 明文比较密码，因易引发时序攻击、内存残留等风险；应使用 char[] 接收并擦除，存储用 BCrypt 或 PBKDF2 强哈希，校验用恒定时间 isEqual()。

Java登录注册中密码明文校验为什么必须避免

直接用 equals() 比较用户输入的密码和数据库存的明文，等于把安全大门敞开。哪怕只在开发环境这么干，也会惯出坏习惯——比如忘记加盐哈希、忽略时序攻击风险、或误把 String 当作可变缓冲区反复拼接。

• 密码字段必须用 char[] 接收并立即擦除，避免堆内存残留（String 不可变，GC 前一直存在）
• 存储必须用强哈希：优先选 BCryptPasswordEncoder（Spring Security）或 PBKDF2WithHmacSHA256（原生），别手写 MD5 或 SHA-1
• 校验时用恒定时间比较函数，如 MessageDigest.isEqual()，防止通过响应时间推断密码长度

用户名和邮箱的字符串校验不能只靠正则

前端传来的 username 和 email 字段，光用 Pattern.compile("^[a-zA-Z0-9_]{3,16}$") 过滤远远不够。真实系统里，你要同时处理空格截断、Unicode 混淆、SQL 注入上下文、以及大小写归一化问题。

• 先调用 trim() 去首尾空白，再检查是否为空（StringUtils.isBlank() 更安全）
• 邮箱校验别只信客户端正则，后端必须调用 InternetAddress 解析或至少用 javax.mail.internet.AddressException 捕获格式错误
• 用户名若需支持国际化（如中文名），禁止用 [a-zA-Z] 类正则；改用 Character.isLetterOrDigit() 逐字符判断，并排除零宽空格（\u200B）、连字符变体等

Spring Boot 中 Controller 层的参数校验容易漏掉什么

很多人给 @RequestBody 对象加了 @NotBlank 就以为万事大吉，但实际请求可能根本没进到这层——比如 JSON 解析失败抛出 HttpMessageNotReadableException，或者字段类型不匹配导致绑定为 null 后才开始校验。

• 必须配 @Valid 在 DTO 上，且每个嵌套对象也要加 @Valid（否则内部字段不触发校验）
• 对非空校验，@NotBlank 只防 null 和纯空格，但不会拦住 "　"（全角空格）或 "\t\n"，建议额外加自定义注解 @NoWhitespace
• 统一异常处理器要捕获 MethodArgumentNotValidException 和 ConstraintViolationException 两类，前者对应 @Valid，后者对应 @Validated 分组校验

密码强度校验该用规则引擎还是硬编码

硬编码一堆 if (pwd.length() 看似简单，实则难维护、难测试、难扩展（比如运营突然要求「不允许连续三位相同数字」）。但引入 Drools 这类引擎又过度设计。

更务实的做法是封装一个轻量校验器：

public class PasswordStrengthValidator {
    private static final Pattern HAS_UPPER = Pattern.compile("[A-Z]");
    private static final Pattern HAS_LOWER = Pattern.compile("[a-z]");
    private static final Pattern HAS_DIGIT = Pattern.compile("\\d");
    private static final Pattern HAS_SPECIAL = Pattern.compile("[!@#$%^&*()_+\\-=\\[\\]{};':\"\\\\|,.<>?/]");

    public ValidationResult validate(String pwd) {
        List errors = new ArrayList<>();
        if (pwd == null || pwd.length() < 8) errors.add("长度至少8位");
        if (!HAS_UPPER.matcher(pwd).find()) errors.add("需含大写字母");
        if (!HAS_LOWER.matcher(pwd).find()) errors.add("需含小写字母");
        if (!HAS_DIGIT.matcher(pwd).find()) errors.add("需含数字");
        if (!HAS_SPECIAL.matcher(pwd).find()) errors.add("需含特殊字符");
        return new ValidationResult(errors.isEmpty(), errors);
    }
}

关键点在于：所有正则必须预编译成 static final，避免每次调用都新建 Pattern；错误信息要可翻译，别写死中文；返回值用 ValidationResult 而不是布尔，方便前端展示具体哪条不满足。

真正容易被忽略的是——校验必须在密码哈希之前做，否则用户输错十次后，你才发现他连基本格式都不满足，白白浪费计算资源。

# word  # java  # js  # 前端  # git  # json  # 处理器  # 编码  # internet  # 后端  # mac  # ai  # 邮箱  # 开发环境 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何实现本地化和多语言支持_Laravel多语言配置与翻译文件管理  html如何与html链接_实现多个HTML页面互相链接【互相】  Laravel Artisan命令怎么自定义_创建自己的Laravel命令行工具完全指南  Laravel怎么处理异常_Laravel自定义异常处理与错误页面教程  如何快速生成高效建站系统源代码？  如何快速搭建高效香港服务器网站？  香港服务器网站推广：SEO优化与外贸独立站搭建策略  黑客如何通过漏洞一步步攻陷网站服务器？  如何在 React 中条件性地遍历数组并渲染元素  如何选择可靠的免备案建站服务器？  如何快速搭建FTP站点实现文件共享？  PHP 500报错的快速解决方法  微信小程序 配置文件详细介绍  软银砸40亿美元收购DigitalBridge 强化AI资料中心布局  简单实现Android文件上传  如何在建站宝盒中设置产品搜索功能？  Laravel如何使用API Resources格式化JSON响应_Laravel数据资源封装与格式化输出  免费网站制作appp,免费制作app哪个平台好？  Laravel中间件起什么作用_Laravel Middleware请求生命周期与自定义详解  如何制作一个表白网站视频,关于勇敢表白的小标题？  Laravel怎么集成Vue.js_Laravel Mix配置Vue开发环境  原生JS实现图片轮播切换效果  网站制作报价单模板图片,小松挖机官方网站报价？  如何在Windows环境下新建FTP站点并设置权限？  Java垃圾回收器的方法和原理总结  如何快速查询网站的真实建站时间？  Laravel怎么实现前端Toast弹窗提示_Laravel Session闪存数据Flash传递给前端【方法】  php增删改查怎么学_零基础入门php数据库操作必知基础【教程】  如何在腾讯云免费申请建站？  iOS正则表达式验证手机号、邮箱、身份证号等  laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法  Win10如何卸载预装Edge扩展_Win10卸载Edge扩展教程【方法】  Laravel怎么实现软删除SoftDeletes_Laravel模型回收站功能与数据恢复【步骤】  jQuery validate插件功能与用法详解  Laravel如何实现数据库事务？（DB Facade示例）  Laravel怎么使用Session存储数据_Laravel会话管理与自定义驱动配置【详解】  Python进程池调度策略_任务分发说明【指导】  Laravel如何处理文件下载请求？（Response示例）  如何在IIS中新建站点并解决端口绑定冲突？  Android中AutoCompleteTextView自动提示  浅谈javascript alert和confirm的美化  如何快速选择适合个人网站的云服务器配置？  Laravel怎么配置自定义表前缀_Laravel数据库迁移与Eloquent表名映射【步骤】  Android自定义listview布局实现上拉加载下拉刷新功能  HTML透明颜色代码怎么让下拉菜单透明_下拉菜单透明背景指南【技巧】  Laravel如何处理文件上传_Laravel Storage门面实现文件存储与管理  活动邀请函制作网站有哪些,活动邀请函文案？  长沙企业网站制作哪家好,长沙水业集团官方网站？  JS去除重复并统计数量的实现方法  Python文本处理实践_日志清洗解析【指导】