BCrypt对密码进行加密及密码验证

最新推荐文章于 2024-05-15 18:48:03 发布
最新推荐文章于 2024-05-15 18:48:03 发布
阅读量1.3w 收藏 25
点赞数 10
分类专栏: 加解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanwenfang/article/details/82716113
版权

1,例子
先看一下BCrypt的加密及验证的代码:

先引入jbcrypt-0.4.jar,下载地址:https://download.csdn.net/download/phpfzh/9789560

import org.mindrot.jbcrypt.BCrypt;

public class BCryptTest {
    public static void main(String[] args) {
        String pwd = "123456";
        String encodePwd = BCrypt.hashpw(pwd, BCrypt.gensalt()); // 加密,核心代码
        System.out.println(encodePwd);
        boolean flag = BCrypt.checkpw(pwd, encodePwd); // 验证加密是否正确
        System.out.println(flag);
    }
}

输出:

$2a$10$EKXOFOjn2Bve3t45194KkOdzGzywmeRw3yeekVf.YeURs2Z4.IaHi
true

2,个人理解

  • 同一个密码,每次生成的hash都是不一样的。

  • 既然每次hash都不一样,那么如何判断加密是否正确呢?
    是这样的:在加密的时候,先随机获取salt,然后跟password进行hash。在下一次校验的时候,从hash中取出salt,salt跟password进行hash,得到的结果跟保存在在数据库的hash进行比较。

  • 生成的密码中,$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值(默认值);而后的前22位是salt值;再然后的字符串就是密码的密文了

  • BCrypt是单向的,而且经过salt和cost的处理,使其受rainbow攻击破解的概率大大降低,同时破解的难度也提升不少

  • 加盐:如果两个人或多个人的密码相同,加密后保存会得到相同的结果。破一个就可以破一片的密码。如果名为A的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。(引用:https://blog.csdn.net/Tracyhuixingfu/article/details/46653659

  • 目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全,但加密更慢。

tanwenfang
关注
  • 10
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java通过BCrypt加密
Tracyhuixingfu的专栏
06-26 1万+
一、概述 在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。 目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全,但加密更慢。 二、使用BCrypt 首先,可以在官网中取得源代码h
应用到Java中的jBCrypt加密技术
11-25
java实现的一种加密技术,jBCrypt
BCrypt 密码加密和解密
phpfzh的博客
03-22 4万+
项目中用到需要对登录密码进行加密 ,使用BCrypt 主要是能实现每次加密的值都是不一样的。 String password = "123456a";//$2a$10$ofPkBDUezOJp6Sik63Q/0.QlU8a1itEyzldjSXqfn2nDPqXjN0Ljm String pwt = BCrypt.hashpw(password, BCrypt.gensalt());
Android Studio实现Mysql(5.7)数据库增删改查(下)——用Bcrypt Hash实现数据库密码加密验证,展示用户条目并实现增删改查
Trabajar的博客
04-24 693
1、新建StudentManagerActivity,在阿里巴巴矢量图标库网站下载返回图标return.png添加到res文件夹的drawable中;TIPS:本文最后会粘贴所有源码,以下讲述思路//输入IPV4地址以及要查询的数据库
最安全的Hash算法-Bcrypt原理及示例_bcrypt加密算法
最新发布
2401_84969389的博客
05-15 356
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Android如何把签名校验做到极致
qq_40948137的博客
04-19 5540
为何你的应用老是被破解,该如何有效的做签名校验? 前言 上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法: /** * 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152"; String nowSignMD5 = ""; try { // 得到签
关于安卓开发签名校验
qq_40114753的博客
11-14 694
安卓开发签名校验
关于在安卓apk中增加官方签名校验的说明
hhbbeijing的专栏
08-03 3063
众所周知,安卓apk的发布,是需要经过签名这一道程序的。 另外,要破解一个APK,必然需要重新对APK进行签名。而这个签名,一般情况无法再与APK原先的签名保持一致。(除非APK原作者的私钥泄漏,那已经是另一个层次的软件安全问题了。)签名机制标明了APK的发行机构。因此,站在软件安全的角度,我们就可以通过比对APK的签名情况,判断此APK是否由“官方”发行,而不是被破解篡改过重新
netstumblerlnstaller 0.4
10-15
netstumblerlnstaller 0.4,可以扫描周围的无线网络有哪些,信号强度如何
数据库账号密码加密详解及实例
09-09
在上述示例中,自定义的`MyPasswordEncoder`类扩展了`MessageDigestPasswordEncoder`,并重写了`isPasswordValid`方法,以使用MD5算法进行密码验证。 Spring Security的配置文件中,`<password-encoder>`元素用于...
Express下采用bcryptjs进行密码加密的方法
10-18
5. **密码验证**: 在用户登录时,我们可以使用`bcrypt.compareSync()`来比较用户输入的密码和数据库中存储的哈希值。如果匹配,返回值为true,否则为false。例如: ```javascript if (bcrypt.compareSync(param....
jbcrypt-0.4.jar 下载
03-22
登录密码加密解密
Java通过BCrypt加密过程详解
08-25
如果名为 A 的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。其实只要稍微混淆一下就能防范住了,这...
Bcrypt加密相关jar包
09-08
因此,Bcrypt成为了很多Web应用首选的密码加密机制。 总的来说,这两个jar包在Java环境中为开发者提供了强大的密码安全支持。`jbcrypt-0.4.jar` 提供了Bcrypt的实现,而`org.apache.commons.lang3.StringUtils.jar`...
Spring security密码加密实现代码实例
08-19
BCryptPasswordEncoder 是 Spring Security 中的一种密码加密器,它使用 BCrypt 算法来加密密码BCryptPasswordEncoder 提供了一个简单的方式来加密验证密码BCrypt 算法 BCrypt 算法是一种基于哈希函数的...
jBCrypt加密密码保证密码安全
qq_33293753的博客
05-10 687
官网http://www.mindrot.org/projects/jBCrypt/ 使用方法 <dependency> <groupId>org.mindrot</groupId> <artifactId>jbcrypt</artifactId> <version>0.4</version&g...
所有jar包下载地址
热门推荐
meow_meow的博客
11-20 15万+
作为初学者很多jar包不知道去哪里下载,给大家分享一个地址: 这个网址是maven仓库的国内镜像地址: http://mvnrepository.com 步骤图解: 1. 2. 3.
Android签名证书----Android新手笔记
血色残阳的专栏
03-22 936
在最新的Android SDK中我们看到了Android签名证书机制的出现,也就是说几乎和Symbian OS v9.x以上平台构架一样,都需要数字签名证书才可以运行,这也是考虑到平台的安全性,同样也提供了类似的自签名self-signed证书。   Android系统要求所有安装的应用程序必需有数字签名。否这系统将不会安装后运行程序在没有合适的签名许可。最终无论是在真是设备还是模拟器上都必须
Android代码数字证书,android数字签名
weixin_29248313的博客
05-26 140
android数字签名2018-10-23Android要求所有已安装的应用程序都使用数字证书做数字签名, 数字证书的私钥由应用开发者持有. Android使用证书作为标识应用程序作者的一种方式, 并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名: 完全可以使用自签名证书沃通(WoSign)安卓代码签名证书,企业和个人开发者都可以使用沃通安卓(A...
bcrypt密码是111111 加密后是什么
07-14
bcrypt 是一种密码哈希函数,它将密码进行加密并生成一个哈希值。每次加密相同的密码,都会生成不同的哈希值,这是为了增加密码的安全性。 在使用 bcrypt 进行密码加密时,通常会使用一个称为“盐”的随机字符串作为额外的输入。这个盐会与密码一起进行哈希计算,以增加密码的复杂性和安全性。 以下是一个使用 bcrypt 进行密码加密的示例: ```javascript const bcrypt = require('bcrypt'); const password = '111111'; bcrypt.genSalt(10, (err, salt) => { bcrypt.hash(password, salt, (err, hash) => { console.log(hash); }); }); ``` 在这个示例中,`bcrypt.genSalt` 生成一个盐,并将其作为参数传递给 `bcrypt.hash` 方法。`password` 是要加密密码。`10` 是盐的复杂度,表示生成盐所需要的计算成本。生成的哈希值将通过 `console.log` 输出。 请注意,由于 bcrypt 使用了随机盐和计算成本,每次运行代码时生成的哈希值都会不同。因此,即使输入的密码相同,生成的哈希值也会不同。 需要注意的是,由于哈希算法的特性,无法从哈希值中逆向推导出原始密码。这是哈希算法的一项重要特性,确保密码的安全性。因此,一般情况下,验证密码的方式是将用户提供的密码与存储的哈希值进行比较,而不是从哈希值中还原出原始密码。 希望这能帮助到你!如果有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值