- 1【开题报告】Springboot大学生创新创业项目管理60qsr计算机毕业设计_java项目springboot 大学生创新创业项目论文开题报告
- 2微调Llama2自我认知_self_cognition 数据集
- 3【MATLAB源码-第176期】基于matlab的16QAM调制解调系统频偏估计及补偿算法仿真,对比补偿前后的星座图误码率。
- 4强强联手,丝滑办公新体验!IdeaHub+华为云会议实测_华为idea hub接入
- 5第九层(16):STL终章——常用集合算法
- 6互联网架构演变过程_网络结构演进的过程
- 7图文带你彻底弄懂MySQL事务原子性之UndoLog_mysql undolog 原子性
- 8CVPR-2020笔记 | 文末送书
- 9【腾讯云 TDSQL-C Serverless 产品测评】Serverless集群高可用测评_tdsql-c mysql版 serverless
- 10OpenLayers 开源的Web GIS引擎_openlayers中文官网
存放密码的正确姿势 安全可靠加密 SHA-256(+Salt)_java 实现 sha-256+盐加密
赞
踩
在我们写后段的时候,经常会遇到需要使用数据库存放密码的操作。 但是对于密码等敏感字符,考虑安全性,直接原原本本的存放在数据里是绝对不安全的。 所以就需要对密码进行基于各种加密算法的加密。
#SHA-256 简单了解
#SHA-256 是什么?
所谓SHA-256其实本质是一套单向哈希函数(或者叫做不可逆散列算法)。 他可以将一个字符串通过特定的计算过程后得出一个长度为256字节的Hash码。 该字符串里面任意一个字变动(甚至是大小写)都会尝试完全不一样的两条散列码。
此外我们还需要特别记住,SHA-256本质是一套不可逆算法。 即字符串转化为散列码后,无法通过散列码将密码还原回来。
至于这套SHA-256的具体计算过程,如果有兴趣自行Google,这里主要教大家使用。 不深入介绍底层实现算法。
#SHA-256 破解?
可能我们会在很多地方看到SHA256破解之类的工具,但是他们是如何实现的呢? 就目前为止,还没有能够逆向破解SHA256的工具.他们所谓的破解无非是不断的去 “碰撞”尝试。也就是不断的通过猜测源密码去生成SHA256哈希码值。所以他是相对安全的。 但是部分破解网站会讲所有已被破解的密码记录起来,方便直接找到。所以就有了加盐(Salt)
#防止散列码被不断的碰撞猜到 —— 加盐(Salt)
假设我们有一个需要加密的字段 abc123!@# 和 自定义盐 ABC
先将加密字段的末尾加上盐(abc123!@#ABC) 进行SHA-256加密->得到任意 256 长度的散列码。
再将得到的 256位散列码 在末尾加上我们的盐,再计算一次SHA-256的值->得到加了盐的256位散列码。
此时我们存进数据库的就是加了盐的256位散列码。
#加密后的密码验证
这个就非常简单,SHA-256是不可逆加密,所以我们只需要将用户输入进来的密码,再过一遍SHA-256加密计算。 然后再和数据库内存的加密后密码对比,如果相同,说明用户输入的密码是正确的。
#SHA-256 用它!
#实现代码
这里用到了 Apache 工具包
import org.apache.commons.codec.binary.Hex; import java.nio.charset.StandardCharsets; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class SHA256Util { public static final String SHA256 = "SHA-256"; // 加盐的SHA256加密 // 可能抛出 NoSuchAlgorithmException 错误,表示加密格式有误。 public static String encrypt_SHA256_Salt(String str, String salt) throws NoSuchAlgorithmException{ // 进行加盐加密后给他放回 return encrypt_SHA256(encrypt_SHA256(str + salt) + salt); } // 普通的SHA256加密 private static String encrypt_SHA256(String str) throws NoSuchAlgorithmException{ // 获取加密格式 MessageDigest instance = MessageDigest.getInstance(SHA256); // 进行加密 instance.update(var.getBytes(StandardCharsets.UTF_8)); // 通过Hex的encodeHex函数,将每个byte都拆成了两个十六进制的数,并组合 return String.valueOf(Hex.encodeHex(instance.digest())); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
#使用代码 import org.yyc.util.SHA256Util; import java.security.NoSuchAlgorithmException; public class UserServiceImpl{ public final String SALT = "ABC"; public String register(String email, String passwd) { try { String encryptedPasswd = SHA256Util.encrypt_SHA256_Salt(passwd, SALT)); } catch (NoSuchAlgorithmException exception) { return "Failed to register."; } // 将密码存进数据库 return "Register successful."; } public String login(String email, String passwd) { String userPasswd; // 此处省略从数据库获取到用户密码的部分 if (userPasswd.equals(SHA256Util.encrypt_SHA256_Salt(passwd, SALT))) { return "Login successful."; } else { return "The password is incorrect."; } } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
