加盐实现分享

最新推荐文章于 2024-05-24 15:45:38 发布
最新推荐文章于 2024-05-24 15:45:38 发布
阅读量162 收藏 1
点赞数
分类专栏: 加密 文章标签: java web安全 安全 极限编程 性能优化
原文链接:https://blog.csdn.net/DavidHuang2017/article/details/80283469 https://blog.csdn.net/CQWNB/article/details/103313533
版权

加盐”的安全及必要性:

现在很多公司密码加密的方式选择的是MD5,一些恶意的网络攻击通过一定的方法(比如彩虹表攻击等)破解用户密码,MD5很容易被攻破,如果加长密码的长度并不能很好的预防攻击,用户体验也受到了很大的限制.

加盐原理简介:

在用户的短密码后面加上一段随机的长字符,再计算 md5,这样反推出原始密码就变得非常困难,而且即使两个用户密码相同,数据库保存的密码也不一样;"加盐“已成为主流的加密选择.
下面图解一下加密过程
在这里插入图片描述
在这里插入图片描述

用户密码加密解决方案:

①设置用户登录次数

数据库添加字段,记录登录次数,标识判断即可

②MD5+加盐
注意:只有在添加用户的时候自动生成加密盐,后面比较的时候都是数据库查出来的;自动生成只在添加用户的时候使用就可以了
1.注册时存储密码

(1)用户注册时输入的账号、密码p1从前端传到后台;

(2)后台随机生成一个salt;

(3)H(p1+salt)生成哈希值,将此哈希值带盐(存储salt)后的结果hash1存储到数据库中;

2.登录时验证密码
(1)用户登陆时输入的账号、密码p2从前端传到后台;

(2)用登陆账号在数据库中查询账号相同的记录,取其哈希值hash2

(3)从hash2获取salt(保证存储时和验证时salt相同)

(4)H(p2+salt)生成哈希值hash3,判断if(hash2==hash3);若相等登陆成功,否则登陆失败。
**

java实现

**

package EncryptAndDecrypt;
 
import java.security.MessageDigest;
import java.util.Random;
 
/**
 * 散列加密之32位哈希值的MD5算法,调用JDK里的API
 *ps:准确来说散列加密不是加密算法,因为它是不可逆的(只能加密,不能解密)
 */
public class MyMD5 {
 
    private static char[] hex = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};
 
    public static void main(String[] args) throws Exception {
        String input = "123456";
        System.out.println("MD5加密" + "\n"
                         + "明文:" + input + "\n"
                         + "无盐密文:" + MD5WithoutSalt(input));
        System.out.println("带盐密文:" + MD5WithSalt(input,0));
    }
 
    /**
    *@params: [inputStr] 输入明文
    *@Descrption: 不加盐MD5
    */
    public static String MD5WithoutSalt(String inputStr) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");//申明使用MD5算法,更改参数为"SHA"就是SHA算法了
            return byte2HexStr(md.digest(inputStr.getBytes()));//哈希计算,转换输出
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }
 
    }
 
    /**
    *@params: [inputStr, type] inputStr是输入的明文;type是处理类型,0表示注册存hash值到库时,1表示登录验证时
    *@Descrption:  MD5加盐,盐的获取分两种情况;输入明文加盐;输出密文带盐(将salt存储到hash值中)
    */
    public static String MD5WithSalt(String inputStr, int type) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");//申明使用MD5算法,更改参数为"SHA"就是SHA算法了
 
            String salt = null;
            if (type == 0) {//注册存hash值到库时,new salt
                salt = salt();
            } else if (type == 1) {//登录验证时,使用从库中查找到的hash值提取出的salt
                String queriedHash=null;//从库中查找到的hash值
                salt=getSaltFromHash(queriedHash);
            }
 
            String inputWithSalt = inputStr + salt;//加盐,输入加盐
            String hashResult = byte2HexStr(md.digest(inputWithSalt.getBytes()));//哈希计算,转换输出
            System.out.println("加盐密文:"+hashResult);
 
            /*将salt存储到hash值中,用于登陆验证密码时使用相同的盐*/
            char[] cs = new char[48];
            for (int i = 0; i < 48; i += 3) {
                cs[i] = hashResult.charAt(i / 3 * 2);
                cs[i + 1] = salt.charAt(i / 3);//输出带盐,存储盐到hash值中;每两个hash字符中间插入一个盐字符
                cs[i + 2] = hashResult.charAt(i / 3 * 2 + 1);
            }
            hashResult = new String(cs);
            return hashResult;
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }
    }
 
 
    /**
     * @return: salt
     * @params:
     * @Descrption: 自定义简单生成盐,是一个随机生成的长度为16的字符串,每一个字符是随机的十六进制字符
     */
    public static String salt() {
        Random random = new Random();
        StringBuilder sb = new StringBuilder(16);
        for (int i = 0; i < sb.capacity(); i++) {
            sb.append(hex[random.nextInt(16)]);
        }
        return sb.toString();
    }
 
    /**
     * @return: 十六进制字符串
     * @params: [bytes]
     * @Descrption: 将字节数组转换成十六进制字符串
     */
    private static String byte2HexStr(byte[] bytes) {
        /**
         *@Author: DavidHuang
         *@Time: 19:41 2018/5/10
         *@return: java.lang.String
         *@params:  * @param bytes
         *@Descrption:
         */
        int len = bytes.length;
        StringBuffer result = new StringBuffer();
        for (int i = 0; i < len; i++) {
            byte byte0 = bytes[i];
            result.append(hex[byte0 >>> 4 & 0xf]);
            result.append(hex[byte0 & 0xf]);
        }
        return result.toString();
    }
 
 
    /**
    *@return: 提取的salt
    *@params: [hash] 3i byte带盐的hash值,带盐方法与MD5WithSalt中相同
    *@Descrption:  从库中查找到的hash值提取出的salt
    */
    public static String getSaltFromHash(String hash){
        StringBuilder sb=new StringBuilder();
        char [] h=hash.toCharArray();
        for(int i=0;i<hash.length();i+=3){
            sb.append(h[i+1]);
        }
        return sb.toString();
    }
 
}

分享到这里就结束了,希望我的分享可以帮到你,欢迎指正

附源码:

package com.bdqn.it.util;

import java.math.BigInteger;
import java.security.MessageDigest;

public class MD5Util {
	
	// 加盐位置
	public static int[] salts = { 3, 8, 16, 22, 25 };
	// 加密
	public static String degst(String str){
		try {
			MessageDigest md5 = MessageDigest.getInstance("md5");
			byte[] bb = md5.digest(str.getBytes("utf-8"));
			
			// 1:不需要正负号,16:输出十六进制数据
			String r = new BigInteger(1, bb).toString(16);
			return r;
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}
	
	// 加盐方法
	public static String addSalt(String md5Str) {

		StringBuffer sb = new StringBuffer(md5Str);

		for (int n = salts.length - 1; n >= 0; n--) {
			int r = (int) (Math.random() * 10);

			// 插入随机数
			sb.insert(salts[n], r);
		}
		return sb.toString();
	}

	// 去盐方法
	public static String delSalt(String md5Str) {
		StringBuffer sb = new StringBuffer(md5Str);

		for (int n = 0; n < salts.length; n++) {
			sb.deleteCharAt(salts[n]);
		}
		return sb.toString();
	}
}
mengyan_anger
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
密码如何“密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7222
为什么要使用的方式对密码进行密?我们知道传统的 md5 密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 密每次生成的密码都是固定的~ 为了解决这个问题,就出现了密方式,每次生成的密码都是不一样的~接下来我会讲两种密方式(),那么就一起来看一下使用的方式进行密和解密吧~
前端 后端 MD5
qq_36636312的博客
01-21 5581
1,为何要密? 明文在网络中传输,容易被黑客破解,存在数据泄露危险 2,什么是md5密? MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),32位 MD5算法无法防止碰撞,存在被暴力破解的风险,所以引入处理 为自定义的一串随机数,如 tsydkd 做法:按照一定的规则,将数据和进行组合,使用MD5算法密组合后的数据 例如:密组合公式 md5(数据+) 或者 md5(+数据+) 3,密代码 3.1 前端密 代码: 引入js插件
2024年最新在前端对登录密码进行密,md5+值_前端登录密码密,前端开发与后端开发
2401_84446610的博客
05-07 296
刷题的重要性,不用多说。对于应届生或工作年限不长的人来说,刷面试题一方面能够尽可能地快速自己对某个技术点的理解,另一方面在面试时,有一定几率被问到相同或相似题,另外或多或少也能够为自己面试增一些自信心,可见适当的刷题是很有必要的。大厂面试远没有我们想的那么困难,摆好心态,做好准备,你也可以的。缺点:对于现在网络发达的时代,大部分人随便攻击你的网站就可以看到你的账号密码这样就可以轻松进入你的网站、不安全。其实值就是给算法(salt),salt相当于密的密钥,增攻击网站破解密后值的难度。
算法的使用
ZHANGWEI19930118的博客
12-24 602
算法的使用
Vue 前端md5密(使用)
前端菜鸟好先森的博客
10-31 5111
Vue 前端md5密,提高安全性
在前端对登录密码进行密,md5+
共同进步
06-16 4205
在前端对登录密码进行密,md5+值 场景:前端制定规则账号密码,后端不进行参与,完全就是前端进行校验缺点:对于现在网络发达的时代,大部分人随便攻击你的网站就可以看到你的账号密码这样就可以轻松进入你的网站、不安全。优点:基本没有,除非就是临时搭建 不需要后端。
PHP Oauth授权和本地实现方法
10-21
OAuth授权允许用户安全地授予第三方应用访问其在特定网站上的私人数据,而无需分享敏感的登录凭证。而本地密则是在服务器端处理数据时确保信息安全的重要手段。 1. OAuth 授权流程: OAuth 是一种授权框架,广泛...
Java实现MD5密及解密的代码实例分享
09-02
* 并MD5密密码 * @param password 明文密码 * @param salt 值 * @return 密后的字符串(值+MD5) */ public static String encryptWithSalt(String password, String salt) { // 值后进行MD5...
shiro密.7z
10-30
在这个名为"shiro密.7z"的项目中,开发者分享了一个完整的示例,其中包含了使用Shiro进行用户登录密码密以及权限认证的实现。 首先,让我们来理解一下什么是密。在密码存储中,(Salt)是一种增...
jiaoyan.rar_噪声
09-23
这些随机过程可以通过各种随机数生成函数实现,如线性同余法或Mersenne Twister等。之后,源代码可能会提供方法来调整噪声强度,例如通过改变噪声点的比例,或者控制它们在图像中的分布模式。 此外,为了测试图像...
jsp,Javascript MD5实现
07-13
然而,对于存储敏感信息,如密码,应使用更安全的密算法,如SHA-256,并结合值和多次哈希以增安全性。 **文件名分析** "jsp_md5"可能是一个包含JSP代码和JavaScript代码的文件,或者是有关MD5密的示例...
【Spring篇】 项目密处理
m0_56361048的博客
02-17 1302
Spring Security 实现项目的
哈希
Debug_zhang的博客
03-15 1161
总的来说,就是在server端,用函数生成一个随机的值,将其和密码连起来,用密算法密,然后将密后的密码和值都存入到数据库中。。当客户端登陆的时候,根据用户名从数据库中先取出值,对用户输入的密码进行哈希,然后与数据库中的密码进行对比。。。 如果为了更高的安全性,页可以再前端用js先对密码进行密,也可以采用哈希,原理就是可以用用户名和密码连起来进行密,虽然在前端进行了哈希
有关密的一点点(md5+salt)
weixin_34221073的博客
03-17 507
做个笔记吧,最近毕设项目进展到了登录注册,正好要考虑考虑密的问题,于是就有了这篇笔记 :) 参考: whatday - salt度与用户密码密机制 正文 这次正文来得真快。 按照整个流程来说 注册: 用户填写账号密码,点击注册 前端使用一个固定的salt值拼接到密码上 前端使用md5密拼接后的密码 把拼接密后的内容发送给后端 后端再随机生成一个salt值,再次拼接到密码上 后端...
第6周 扫码登录与登录实现与AR模式落地
最新发布
与海
05-24 59
【代码】第6周 扫码登录与登录实现与AR模式落地。
salt度与用户密码密机制
yanick技术博客
05-11 6149
<br />  我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。<br />  Salt可以一定程度上解决这一问题。所谓Salt方法,就是点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。<br />  这里的“佐料”被称作“Salt值”,这个值
MD5密码处理
开心每天,水滴石穿。
05-19 2359
为什么不能直接用MD5?        直接对重要数据进行MD5处理后,反响解密确实难度很大,但还是可以找到破绽的。例如:两个人或多个人的密码相同,通过MD5密后保存会得到相同的结果,这样破解一个就破解一片的密码。如果一个名XX的用户可以查看数据库,那么他就可以观察到自己的密码和别人的密码密后的结果一样,就可以利用别人的身份登陆了。 如何防止这种情况发生呢?         MD5
【密码学】轻松理解“”的原理与java实现
热门推荐
David的博客
05-11 3万+
上一篇博客中说到防御彩虹表攻击最常用的方法就是,那么什么是呢? 一、什么是? 1.背景 现在很多公司后台以hash值形式存储用户密码(虽然本文以MD5哈希函数为例,但becrypt函数最常用的),用于哈希函数存在碰撞的特性,当后台数据库被攻击然后获取到用户密码哈希值时,还是能通过一定的方法(比如彩虹表攻击)破解用户密码。 举个例子:http://...
sm3算法java实现
09-05
您可以使用以下代码示例在Java中实现SM3算法: ```java import org.bouncycastle.crypto.digests.SM3Digest; import org.bouncycastle.util.encoders.Hex; import java.nio.charset.StandardCharsets; import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值