【JavaWeb】通過郵件找回密碼

前言

本文將介紹忘記密碼時通過發送重置密碼郵件找回密碼的實現思路。整個實現過程中最重要的就是以下三點：

• 如何發送郵件到用戶指定郵箱
• 郵件中的重置密碼鏈接構成是怎么樣的
• 驗證重置密碼鏈接的合法性（是否過期）

先來個實現的效果展示吧，然后再仔細分析如何去實現各個部分：

效果展示

（這里盜用下我們小組作品成果的前端）

用戶輸入注冊時的郵箱賬戶獲取重置密碼的鏈接

用戶登錄自己的郵箱查看郵件

用戶點擊重置密碼鏈接，如果在重置鏈接有效期內我們跳轉到重置密碼界面，否則提醒用戶該鏈接已過期

如何發送郵件給用戶指定的郵箱

在整體看了效果之后，我們就來逐步分析功能實現。首先是發郵件，這個功能我借用了一位博主寫好的代碼，這雖然是他09年寫的，但是實現效果依舊很好。代碼中的注釋也很詳細，我也不用再多做解釋（實際情況是，我也沒有太認真去讀該代碼，只是當了一個搬運工，哈哈~）。文末附上了該博主的博客鏈接。我發送郵件的demo可見github：

然后介紹下在使用過程遇見的坑，不出意外十有八九大家都會遇見。主要有兩個：

認證錯誤：javax.mail.AuthenticationFailedException

也就是報錯如下：

這也是因為，在填寫發送郵件的密碼時，應該使用授權碼，而不是密碼！！！

郵件內容不合法：com.sun.mail.smtp.SMTPSendFailedException: 554

這個是因為你的郵件被網易郵箱（我用的是網易郵箱發郵件）識別成垃圾郵件，然后就不會給你發。我的解決辦法是，修改郵件的內容，僅包含少量的提示信息和重置密碼鏈接。這樣就成功地發送了。

如何發送郵件這個問題解決，那么下一步就是，郵件中的重置密碼鏈接應該是怎樣？

包導入出錯

Constructor PasswordAuthentication can not be applied to given types.
required java.lang.String,java.lang.char[]

出現這個問題的原因是我們導錯了包

不應該為

import java.net.Authenticator;
import java.net.PasswordAuthentication;  

而要導入

import javax.mail.Authenticator;
import javax.mail.PasswordAuthentication;

重置密碼鏈接的生成

重置密碼鏈接中應該最少包含兩個信息：用戶的標識和鏈接的有效時間。用戶標識是為了指定為哪個重置密碼，而有效時間是從安全性角度來看是為了重放攻擊。我這次就實現就在鏈接中僅包含了這兩個信息，如果有需求可以加入更多標識信息。

然后最重要的一點就是，要對信息加密！！如果不加密的話就很容易遭受篡改攻擊！還需要注意，我們不能使用hash算法加密，如md5。從本質上講md5不算是加密算法，是一種單向的產生散列值的算法，用於檢驗信息的完整性。加密算法要求可以解密，是可逆的。

在本次demo中，我使用了DES算法對用戶標識（用戶輸入的郵箱）和產生鏈接的時間（也就是系統當前的時間）進行加密。

// 獲取系統當前時間
Date now = new Date();
String currentTime = "" + now.getTime();
// 重置密碼鏈接
String urlStr = "http://localhost:8080/LoveMovie/forgetPassword/resetPassword?key=";
String plainText = currentTime + "@" + userEmail; // 當前時間加上用戶郵箱 使用@進行連接二者，在大多數情況下不會產生歧義    
String desKey = "LOVEMOIVE"; // des算法中的密鑰
String link = urlStr + DESUtil.encrypt(desKey, plainText);	//加密后的鏈接

本來打算使用前幾篇自己實現的DES算法進行加密可不知道為什么總是報錯數組越界，找了很久沒有找到問題所在，於是就又使用了別人寫好的DES（又做了一次搬運工~ (@^_^@)~）。如果想要對更加深入理解DES加密算法的話，可以看看我的寫的博客對稱密碼——DES加密算法（羞恥地推薦一波~）

關於生成重置密碼鏈接的完整代碼我准備放在和驗證重置鏈接的代碼一起給出，因為生成鏈接是加密而驗證鏈接是解密，加解密一起看思路會更清晰一點。

驗證重置鏈接的合法性

這個的實現思路就很簡單了，提取鏈接中的參數key的值，然后使用des解密出明文。分割明文字符串為發送郵件的時間和用戶郵箱，將發送郵件的時間和當前系統時間進行比較差值若是小於2小時就響應用戶重置密碼界面，否則就提箱用戶該鏈接已失效。

相關demo地址

• 使用Java實現發送郵件

  https://github.com/Sakuraxx/ToolDemos/tree/master/mail

• 使用DES加解密重置密碼鏈接

  https://github.com/Sakuraxx/ToolDemos/tree/master/encrytion

小結

總觀這個發送郵件尋回密碼的功能還是比較簡單的，可能是因為做了搬運工的原因吧~~最后是放上發郵件和使用DES加解密鏈接這兩個模塊供，供大家在web項目中靈活使用。博客中有任何問題，都歡迎交流哦~

參考：

• javamail發送郵件：https://lrh800300.iteye.com/blog/322090

• JavaMail API下載地址：https://www.oracle.com/technetwork/java/javamail/javamail145-1904579.html

• "忘記密碼"功能過程及其實現細節：https://blog.csdn.net/shansusu/article/details/43311721