在Spring Boot项目中, 提供了DigestUtils工具类, 此工具类的方法可以轻松实现" 使用MD5算法 "进行运算, 从而, 可以实现将原始密码进行加密, 得到一个加密后的结果.
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.util.DigestUtils;
@Slf4j
public class DigestTests {
@Test
public void testEncode() {
String rawPassword = "123456";
String encodedPassword = DigestUtils
.md5DigestAsHex(rawPassword.getBytes());
log.debug("原始密码={},MD5运算结果={}", rawPassword, encodedPassword);
}
}
首先, 对密码进行加密后, 再存储, 是非常有必要的! 并且, 主要的防范对象通常是内部员工!
需要注意, 对密码进行加密处理时, 不可以使用加密算法! 因为, 所有的加密算法都是可以加密, 也可以解密的! 加密算法的核心价值在于保证数据在传输过程中是安全的, 并不保证数据存储的安全!
对需要存储的密码进行加密处理时, 应该使用消息摘要算法, 其本质是一种哈希算法, 是不可逆向运算的!
另外,消息摘要算法的典型特征:
- 消息相同, 则摘要相同
- 无论消息长度, 摘要的长度是固定的(同一种算法)
- 消息不同, 则摘要几乎不会相同
常见的消息摘要算法有 :
- MD系列: MD2 (128bit) ,MD4 (128bit) , MD5 (128bit)
- SHA家族 : SHA-1(160bit)、SHA-256(256bit)、SHA-384(384bit)、SHA-512(512bit)
以MD5为例, 其运算结果时128个二进制组成, 通常, 会转换成十六进制数来表示, 则是32位长度的十六进制数.
所以, MD5算法的运算结果的种类有2的128次方种, 即 : 340282366920938463463374607431768211456
由于消息算法在运算过程中会丢失一部分的数据, 所以, 消息算法都是不可逆的!
使用消息摘要算法处理密码加密时, 任何" 破解 “都不会是 " 根据密文计算得到原文的 “的!
在网络上, 有一些平台记录了简单的明文密文的对应关系的数据库, 以实现” 根据密文查询出原文 " 的效果, 但是, 只有原文足够复杂(8位长度以上) , 这些平台不可能收录其对应关系!
为了保证密码原文的复杂性, 应该使用” 盐 ", 它将作为被运算数据的组件部分之一, 例如 :
String rawPassword = "123456";
String salt = "jhfdiu78543hjfdo8";
String encodedPassword = DigestUtils.md5DigestAsHex((rawPassword + salt).getBytes());
即使原密码非常简单, 但是, 对于运算过程而言, 真正的原始数据已经变成了123456jhfdiu78543hjfdo8,这样的原文与其密文的对应关系是不可能被各平台收录的!
所以, 为了保障用户密码的安全, 可行的做法有 :
- 要求用户使用强度更高的原始密码
- 要求使用较长的密码
- 要求密码中包含的字符种类更多样化
- 加盐
- 理论上, 盐值越复杂越好, 但是, 也没有必要过度复杂
- 盐值的具体使用也没有规定, 原则上, 只要能使得被运算数据变复杂即可
- 循环加盐
- 将第1次运算得到的密文, 作为原文, 进行第2次的运算, 如此循环多次
- 使用位长更长的消息摘要算法
- 综合使用以上各种做法