java用户密码摘要加盐的两种方式

用户密码安全处理,主要是对密码生成摘要,将摘要内容存储到数据库中。一般采用MD5或者SHA生成摘要,这种方式具有方便、快速而且几乎不可还原性。

但是对相同数据返回的摘要信息永远是一样的。如果某人有DB的权限,只要查找摘要跟已知密码摘要相同的用户,就可以破解用户的密码,这对一个项目来说十分危险。

通过加盐技术,可以避免这种问题。有两种加盐方式:

1、通过用户名+用户密码生成加密摘要,因为用户名不会重复,所以生成的摘要也不会相同,用户名相当于盐。

2、随机生成固定长度的字符串,称之为盐,存储到数据库用户表的字段中,通过盐+密码生成加密摘要,这样数据库中摘要也不会相同。

使用MessageDigest生成SHA摘要例子:

 /**
     * 生成盐
     * @return
     */
    public static byte[] createSalt(){
        byte[] salt = new byte[16];
        try {
            SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
            random.nextBytes(salt);
            return salt;
        } catch (NoSuchAlgorithmException e) {
            return null;
        }
    }

    /**
     * 生成摘要
     * @param password
     * @param salt
     * @return
     */
    public static byte[] digest(String password, byte[] salt){

        try {
            MessageDigest msgDigest = MessageDigest.getInstance("SHA");
            if (salt != null && salt.length > 0){
                msgDigest.update(salt);
            }

            byte[] digest = msgDigest.digest(password.getBytes());
            return digest;
        } catch (NoSuchAlgorithmException e) {
            return null;
        }
    }

    public static String createCredential(String password){
        return digest(password,createSalt()).toString();
    }



评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值