密碼加鹽
引用
- https://www.e-learn.cn/content/qita/811459
- https://blog.csdn.net/M_Kerry/article/details/82725622
- https://cloud.tencent.com/developer/article/1394254
爲什麼要加鹽
密碼不能以明文形式保存到數據庫中,否則數據泄露密碼就會被知道
。而一般的加密方式由於加密規則固定,很容易被破解,安全係數不高。密碼加鹽的加密方式,能很好的解決這一點。
密碼加鹽
密碼加鹽裏包含隨機值
和加密方式
。隨機值是電腦隨機產生的,並且以隨機的方式
混在原始密碼裏面,然後按照加密方式生成一串字符串保存在服務器。換言之,這個是單向的,電腦也不知道客戶的原始密碼,即使知道加密方式,反向推出的加密前的字符串也是真正密碼與隨機值混合後的結果,從而無法解析用戶的真正密碼。
那麼是如何驗證密碼的呢?
以相同的加鹽方式生成字符串,如果和之前的一致,則通過。而其它用戶無法獲得這種加密方式:即生成哪些隨機數,以什麼方式混入進去,自然就很安全。加鹽,實際上就是給密碼加一個隨機串,再進行散列,這樣使得根據散列反推出密碼的可能性降低
;或不加鹽,黑客可以窮舉小位數密碼及鹽進行加密破解出實際密碼。
// 存儲hash後的值,黑客可以窮舉小位數密碼組合,進行sha256 hash,對比出相應密碼;
pass = sha256(password);
//存儲hash後的值,黑客需要窮舉多位數密碼組合(鹽的位數+密碼位數),大大增加了破解的難度。
pass = sha256(password+salt);
實現
public class Main {
public static void main(String[] args) {
// write your code here
String salt = UUID.randomUUID().toString();
PasswordEncryptor encoderMd5 = new PasswordEncryptor(salt, "sha-256");
String encodedPassword = encoderMd5.encode("xiaochangwei's password");
System.out.println("加密後密碼:" + encodedPassword + "\n密碼長度:" + encodedPassword.length());
System.out.println("salt:" + salt);
boolean isvalid = encoderMd5.isPasswordValid(encodedPassword, "xiaochangwei's password");
System.out.println("加密後密碼:" + isvalid);
}
}
public class PasswordEncryptor {
private final static String[] hexDigits = { "0", "1", "2", "3", "4", "5",
"6", "!", "#", "@", "a", "b", "c", "d", "*", "f", "g", "F" };
private Object salt;
private String algorithm;
public PasswordEncryptor(Object salt, String algorithm) {
this.salt = salt;
this.algorithm = algorithm;
}
public String encode(String rawPass) {
String result = null;
try {
MessageDigest md = MessageDigest.getInstance(algorithm);
result = byteArrayToHexString(md.digest(mergePasswordAndSalt(
rawPass).getBytes("utf-8")));
} catch (Exception ex) {
}
return result;
}
public boolean isPasswordValid(String encPass, String rawPass) {
String pass1 = "" + encPass;
String pass2 = encode(rawPass);
return pass1.equals(pass2);
}
private String mergePasswordAndSalt(String password) {
if (password == null) {
password = "";
}
if ((salt == null) || "".equals(salt)) {
return password;
} else {
return password + "{" + salt.toString() + "}";
}
}
/**
* 轉換字節數組爲16進制字串
*
* @param b
* 字節數組
* @return 16進制字串
*/
private static String byteArrayToHexString(byte[] b) {
StringBuffer resultSb = new StringBuffer();
for (int i = 0; i < b.length; i++) {
resultSb.append(byteToHexString(b[i]));
}
return resultSb.toString();
}
private static String byteToHexString(byte b) {
int n = b;
if (n < 0)
n = 256 + n;
int d1 = n / hexDigits.length;
int d2 = n % hexDigits.length;
return hexDigits[d1] + hexDigits[d2];
}
}