密码加盐对密码进行保护

最新推荐文章于 2023-03-22 11:33:53 发布
最新推荐文章于 2023-03-22 11:33:53 发布
阅读量1.6k 收藏
点赞数
文章标签: 密码加盐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenghu8888/article/details/36054739
版权

一般对密码都不会是明文存储,而是对密码进行MD5处理,增强反向解密难度。但这样还是能可以找出破绽。

如果用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,就会知道别人用的和自己就是同一个密码。

目前最流行的就是对密码进行加盐,下面用实际代码说说

package com.tenghu.core.test;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.KeySpec;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;

/**
 * 安全密码工具
 * @author Arvin
 *
 */
public class ToolSecurityPwd {
	private ToolSecurityPwd(){}
	private static MessageDigest md=null;
	static{
		try {
			md=MessageDigest.getInstance("SHA-1");
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		}
	}
	
	/**
	 * 判断密码是否是正确的
	 * @param password 需要验证的秘密
	 * @param encryptedPassword 加密后的密码
	 * @param salt 密码盐
	 * @return
	 */
	public static boolean authenticate(String password,String encryptedPassword,String salt){
		//尝试输入密码加密
		String encryptedAttemptedPassword=getEncryptedPassword(password, salt);
		//判断密码是否相等
		return encryptedPassword.equals(encryptedAttemptedPassword);
	}
	
	/**
	 * 获取加密后的密码
	 * @param password 明文密码
	 * @param salt 密码盐
	 * @return
	 */
	public static String getEncryptedPassword(String password,String salt){
		String algorithm="PBKDF2WithHmacSHA1";//运算法则
		int derivedKeyLength=160;//生成密码长度
		int iterations=20000;//迭代次数
		KeySpec spec=new PBEKeySpec(password.toCharArray(), salt.getBytes(), iterations,derivedKeyLength);
		try {
			SecretKeyFactory skf=SecretKeyFactory.getInstance(algorithm);
			return byteToStr(skf.generateSecret(spec).getEncoded()).toLowerCase();
		} catch (Exception e) {
			e.printStackTrace();
		}
		return "";
	}
	
	
	/**
	 * 生成密码盐字符串
	 * @return
	 */
	public static String generateSalt(){
		SecureRandom random=new SecureRandom();
		byte[] salt=new byte[8];
		random.nextBytes(salt);
		return byteToStr(md.digest(salt)).toLowerCase();
	}
	
	/**
	 * 将二进制数组转为字符串
	 * @param bytes
	 * @return
	 */
	private static String byteToStr(byte[] bytes){
		String tempStr="";
		for(int i=0;i<bytes.length;i++){
			tempStr+=byteToHexStr(bytes[i]);
		}
		return tempStr;
	}
	
	/**
	 * 将字节转为十六进制字符串
	 * @param mybyte
	 * @return
	 */
	private static String byteToHexStr(byte mybyte){
		char[] digit={'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'};
		char[] tempArr=new char[2];
		tempArr[0]=digit[(mybyte>>>4)&0X0F];
		tempArr[1]=digit[mybyte&0X0F];
		return new String(tempArr);
	}
	
	public static void main(String[] args) {
		//获取密码盐
		String salt=generateSalt();
		//获取加密后的密文
		String encryptedPassword=getEncryptedPassword("zhangsan", salt);
		System.out.println(authenticate("zhangsan1", encryptedPassword, salt));
	}
}

这样我们的密码又多了一重保护

小老虎Love
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Shiro 密码加盐
09-27 163
shiro 密码加盐需要注意: simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("yan")); import org.apache.shiro.authc.AuthenticationException...
加盐加密
u010005424的博客
04-05 559
加盐加密常用的数据库密码存储方式为:对密码进行加密后存储(以MD5为例),然后涉及到登录时,对加密后的信息进行对比这么做有一些缺陷:同样的密码加密后的信息一样 如果数据库泄露,假设甲看到乙的加密后的信息和自己一样,那么就知道他们是一样的密码所以就引出了加盐加密。 加盐加密实际上很简单,就是加一点混淆信息,例如将username+password作为加密原文,username+password这个
Java 密码加盐哈希
allway2的博客
01-15 901
import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.util.Random; public class PasswordSaltedHashExample { public static void main(String[] args) { String password = "MyPass1.
MD5+salt盐加密
花花世界芸芸众生的博客
09-19 1570
MD5算法的原理可简要的叙述为:MD5码以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。 总体流程如下图所示,每次的运算都由前一轮的128位结果值和当前的512bit值进行运算 ...
Java中hash+salt的加密算法
xsi64的专栏
04-09 1万+
一般我们存储密码的时候,使用hash算法进行存储,但是,这样做是不安全的,虽然不能反向生成密码,但是可以通过彩虹法和反向查表法高效的猜解出密码。 比较安全的做法就是使用hash+salt的加密算法。 这里使用了RFC2898标准。 看代码: Rfc2898DeriveBytes.java package com.poreader.common; import java.io.Uns
如何正确对用户密码进行加密?
02-25
本文介绍了对密码哈希加密的基础知识,以及什么是正确的加密方式。还介绍了常见的密码破解方法,给出了如何避免密码被破解的思路。...保护密码的最好办法是使用加盐密码哈希(saltedpasswordhashing)。在对密码进行
salt_hash.zip_Node.js_密码加密与解密_密码加盐
09-20
本案例主要关注的是如何利用Node.js的crypto模块来进行密码加密与解密,并且涉及到了密码加盐salt)的策略。以下是对这两个关键知识点的详细说明。 首先,我们来看密码加密。在Node.js中,crypto模块是内建的,...
Express下采用bcryptjs进行密码加密的方法
10-18
在Express框架下,我们可以使用bcryptjs这个库来对用户密码进行加密,确保数据的安全性。以下是对bcryptjs在Express中的使用方法的详细说明: 1. **安装bcryptjs**: 在开始使用bcryptjs之前,我们需要先通过npm...
Spring Boot 中密码加密的两种方法
09-07
Spring Boot 是一个流行的Java开发框架,它简化了创建独立、生产级别的基于Spring的应用程序。...在实际开发中,应遵循最佳实践,使用`BCryptPasswordEncoder`对用户密码进行加密,以保护用户的个人信息安全。
Java关于md5+salt盐加密验证
weixin_30905981的博客
04-16 1333
一.陈述一下工作流程: 1.根据已有的密码字符串去生成一个密码+盐字符串,可以将盐的加密字符串也存放在数据库(看需求), 2.验证时将提交的密码字符串进行同样的加密再从数据库中取得已有的盐进行组合密码+盐的字符串和已有的进行验证 package com.mi.util; import java.io.UnsupportedEncod...
md5+salt加密(不能解密)
杨咩咩
10-26 9465
代码来自网络: package com.lx.shopping.utils; import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRa...
Java基础——Java代码开发预防漏洞整理
ddm
04-29 952
1、打印一个一次性文件及其堆栈跟踪到某个流。默认情况下,该stream System.Err可能会无意中公开敏感信息。 应该使用记录器来打印一次性文件,因为它们有许多优点: 用户可以轻松地检索日志。 日志消息的格式是统一的,允许用户轻松浏览日志。 如果使用printStackTrace时没有参数,即堆栈跟踪打印到默认流时,此规则会引发问题。 Noncompliant Code Example t...
密码如何“加盐加密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7160
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密和解密吧~
加盐密码哈希:如何正确使用
weixin_34014277的博客
03-19 2189
来源:http://blog.jobbole.com/61872/#csharp 本文由 伯乐在线 - 蒋生武 翻译自 Crackstation。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。   如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险...
什么是密码加盐?
WillPan1234的博客
01-26 1万+
        密码加盐处理,这是常识。总的来讲,盐就是让你的密码更加的安全,更加的难以破解各个权限处理框架对此都有不同程度的支持,Shiro、SpringSecurity都有自家的解决方案.         那么什么是密码加盐 , 我们来逐步了解.        首先,我们进入测试网站 , 在密文输入框内输入e10adc3949ba59abbe56e057f20f883e如图. 点击查询,你会...
tp6登录密码加盐处理
滑稽型自走雷的博客
03-16 2034
登录功能 后台控制器 class Login extends BaseController { //登录主页判断是pc或手机,可不要 public function index() { //判断是移动端登陆还是pc登陆 $ismobile=request()->isMobile(); if($ismobile){ ...
什么是密码加盐
崔二旦
03-23 1万+
Apache Shiro 学习记录
对用户密码进行加盐处理
码农工会
03-27 3948
按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。 如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护 直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图: 如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个
Oracle中的MD5加密
热门推荐
驽马十驾 才定不舍
05-04 3万+
作者:iamlaosong 因为要用到MD5加密,所以在网上搜了一下相关资料,并进行仔细研究。其核心就是MD5编码的数据包函数:DBMS_OBFUSCATION_TOOLKIT.MD5,这里涉及到RAW类型,其实就是原始的代码值。 MD5加密的结果就是16个byte值,也就是是RAW类型,是显示不出来的,要正确显示,需要经过Utl_Raw.Cast_To_Raw转换,这个函数的作用是将每个字节的值用十六进制字符表示出来。为了说明清楚,举例如下:假定一个字节的二进制值是0100 0001,十六进制表示就是41
fastapi 密码加盐加密
最新发布
04-25
在 FastAPI 中,可以使用 Python 自带的 hashlib 模块实现密码加盐加密。具体实现过程如下: 1. 在注册时,将用户输入的密码加上一个随机生成的字符串,即为“盐”。 2. 将得到的字符串进行哈希计算,使用 hashlib.sha256() 方法进行计算,并尽量多次重复。 3. 将哈希值和盐一起存储在数据库中。 4. 在登录时,重复上述步骤,然后将得到的哈希值与数据库中存储的对比。 如果一致,则表明用户输入的密码正确。 注意:在实践中,密码加盐加密只是密码安全的一环,还需要使用其他的手段进行保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小老虎Love

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值