密码加盐
引用
- https://www.e-learn.cn/content/qita/811459
- https://blog.csdn.net/M_Kerry/article/details/82725622
- https://cloud.tencent.com/developer/article/1394254
为什么要加盐
密码不能以明文形式保存到数据库中,否则数据泄露密码就会被知道
。而一般的加密方式由于加密规则固定,很容易被破解,安全系数不高。密码加盐的加密方式,能很好的解决这一点。
密码加盐
密码加盐里包含随机值
和加密方式
。随机值是电脑随机产生的,并且以随机的方式
混在原始密码里面,然后按照加密方式生成一串字符串保存在服务器。换言之,这个是单向的,电脑也不知道客户的原始密码,即使知道加密方式,反向推出的加密前的字符串也是真正密码与随机值混合后的结果,从而无法解析用户的真正密码。
那么是如何验证密码的呢?
以相同的加盐方式生成字符串,如果和之前的一致,则通过。而其它用户无法获得这种加密方式:即生成哪些随机数,以什么方式混入进去,自然就很安全。加盐,实际上就是给密码加一个随机串,再进行散列,这样使得根据散列反推出密码的可能性降低
;或不加盐,黑客可以穷举小位数密码及盐进行加密破解出实际密码。
// 存储hash后的值,黑客可以穷举小位数密码组合,进行sha256 hash,对比出相应密码;
pass = sha256(password);
//存储hash后的值,黑客需要穷举多位数密码组合(盐的位数+密码位数),大大增加了破解的难度。
pass = sha256(password+salt);
实现
public class Main {
public static void main(String[] args) {
// write your code here
String salt = UUID.randomUUID().toString();
PasswordEncryptor encoderMd5 = new PasswordEncryptor(salt, "sha-256");
String encodedPassword = encoderMd5.encode("x