密碼加鹽

引用

  1. https://www.e-learn.cn/content/qita/811459
  2. https://blog.csdn.net/M_Kerry/article/details/82725622
  3. https://cloud.tencent.com/developer/article/1394254

為什么要加鹽

密碼不能以明文形式保存到數(shù)據(jù)庫中,否則數(shù)據(jù)泄露密碼就會被知道。而一般的加密方式由于加密規(guī)則固定,很容易被破解,安全系數(shù)不高。密碼加鹽的加密方式,能很好的解決這一點。

密碼加鹽

密碼加鹽里包含隨機值加密方式。隨機值是電腦隨機產(chǎn)生的,并且以隨機的方式混在原始密碼里面,然后按照加密方式生成一串字符串保存在服務器。換言之,這個是單向的,電腦也不知道客戶的原始密碼,即使知道加密方式,反向推出的加密前的字符串也是真正密碼與隨機值混合后的結果,從而無法解析用戶的真正密碼。

那么是如何驗證密碼的呢?

以相同的加鹽方式生成字符串,如果和之前的一致,則通過。而其它用戶無法獲得這種加密方式:即生成哪些隨機數(shù),以什么方式混入進去,自然就很安全。加鹽,實際上就是給密碼加一個隨機串,再進行散列,這樣使得根據(jù)散列反推出密碼的可能性降低;或不加鹽,黑客可以窮舉小位數(shù)密碼及鹽進行加密破解出實際密碼。

// 存儲hash后的值,黑客可以窮舉小位數(shù)密碼組合,進行sha256 hash,對比出相應密碼;
pass = sha256(password); 

//存儲hash后的值,黑客需要窮舉多位數(shù)密碼組合(鹽的位數(shù)+密碼位數(shù)),大大增加了破解的難度。
pass = sha256(password+salt);

實現(xiàn)

public class Main {
    public static void main(String[] args) {
    // write your code here
        String salt = UUID.randomUUID().toString();
        PasswordEncryptor encoderMd5 = new PasswordEncryptor(salt, "sha-256");
        String encodedPassword = encoderMd5.encode("xiaochangwei's password");
        System.out.println("加密后密碼:" + encodedPassword + "\n密碼長度:" + encodedPassword.length());
        System.out.println("salt:" + salt);

        boolean isvalid = encoderMd5.isPasswordValid(encodedPassword, "xiaochangwei's password");

        System.out.println("加密后密碼:" + isvalid);
    }
}

public class PasswordEncryptor {

    private final static String[] hexDigits = { "0", "1", "2", "3", "4", "5",
            "6", "!", "#", "@", "a", "b", "c", "d", "*", "f", "g", "F" };

    private Object salt;
    private String algorithm;

    public PasswordEncryptor(Object salt, String algorithm) {
        this.salt = salt;
        this.algorithm = algorithm;
    }

    public String encode(String rawPass) {
        String result = null;
        try {
            MessageDigest md = MessageDigest.getInstance(algorithm);
            result = byteArrayToHexString(md.digest(mergePasswordAndSalt(
                    rawPass).getBytes("utf-8")));
        } catch (Exception ex) {
        }
        return result;
    }

    public boolean isPasswordValid(String encPass, String rawPass) {
        String pass1 = "" + encPass;
        String pass2 = encode(rawPass);

        return pass1.equals(pass2);
    }

    private String mergePasswordAndSalt(String password) {
        if (password == null) {
            password = "";
        }

        if ((salt == null) || "".equals(salt)) {
            return password;
        } else {
            return password + "{" + salt.toString() + "}";
        }
    }

    /**
     * 轉(zhuǎn)換字節(jié)數(shù)組為16進制字串
     *
     * @param b
     *            字節(jié)數(shù)組
     * @return 16進制字串
     */
    private static String byteArrayToHexString(byte[] b) {
        StringBuffer resultSb = new StringBuffer();
        for (int i = 0; i < b.length; i++) {
            resultSb.append(byteToHexString(b[i]));
        }
        return resultSb.toString();
    }

    private static String byteToHexString(byte b) {
        int n = b;
        if (n < 0)
            n = 256 + n;
        int d1 = n / hexDigits.length;
        int d2 = n % hexDigits.length;
        return hexDigits[d1] + hexDigits[d2];
    }

}
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容