用户密码安全处理,主要是对密码生成摘要,将摘要内容存储到数据库中。一般采用MD5或者SHA生成摘要,这种方式具有方便、快速而且几乎不可还原性。
但是对相同数据返回的摘要信息永远是一样的。如果某人有DB的权限,只要查找摘要跟已知密码摘要相同的用户,就可以破解用户的密码,这对一个项目来说十分危险。
通过加盐技术,可以避免这种问题。有两种加盐方式:
1、通过用户名+用户密码生成加密摘要,因为用户名不会重复,所以生成的摘要也不会相同,用户名相当于盐。
2、随机生成固定长度的字符串,称之为盐,存储到数据库用户表的字段中,通过盐+密码生成加密摘要,这样数据库中摘要也不会相同。
使用MessageDigest生成SHA摘要例子:
/**
* 生成盐
* @return
*/
public static byte[] createSalt(){
byte[] salt = new byte[16];
try {
SecureRandom random = SecureRandom.getInstance(\"SHA1PRNG\");
random.nextBytes(salt);
return salt;
} catch (NoSuchAlgorithmException e) {
return null;
}
}
/**
* 生成摘要
* @param password
* @param salt
* @return
*/
public static byte[] digest(String password, byte[] salt){
try {
MessageDigest msgDigest = MessageDigest.getInstance(\"SHA\");
if (salt != null && salt.length > 0){
msgDigest.update(salt);
}
byte[] digest = msgDigest.digest(password.getBytes());
return digest;
} catch (NoSuchAlgorithmException e) {
return null;
}
}
public static String createCredential(String password){
return digest(password,createSalt()).toString();
}
以上是《java用户密码摘要加盐的两种方式》文章的全部内容,感谢您的支持!
以上就是《java用户密码摘要加盐的两种方式》文章的全部内容了!