文章目录
一、写在前面
日常开发中,用户密码存储是严禁明文存入数据库中的,原因如下:
1.数据泄露风险:如果数据库被攻击,所有用户的密码将直接暴露。
2.用户隐私保护:许多用户可能在多个平台使用相同的密码,明文存储会增加其他账户被攻破的风险。
3.法律与合规要求:许多安全标准(如 GDPR、OWASP 等)都明确禁止明文存储密码。
因此,密码在存储前必须进行加密或哈希处理。
二、密码加密存储方式
1、基于MD5加盐方式
1、首先引入依赖包
<!--MD5加密 对铭文信息进行加密操作-->
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
</dependency>
2、工具类,注意,盐可以考虑单独存储为一个数据库字段,此处为了方便
import org.apache.commons.codec.binary.Hex;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
/**
* @Description 将明文密码进行MD5加盐加密
**/
public class SaltMD5Util {
/**
* @Description 生成普通的MD5密码
**/
public static String MD5(String input) {
MessageDigest md5 = null;
try {
// 生成普通的MD5密码
md5 = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException e) {
return "check jdk";
} catch (Exception e) {
e.printStackTrace();
return "";
}
char[] charArray = input.toCharArray();
byte[] byteArray = new byte[charArray.length];
for (int i = 0; i < charArray.length; i++)
byteArray[i] = (byte) charArray[i];
byte[] md5Bytes = md5.digest(byteArray);
StringBuffer hexValue = new StringBuffer();
for (int i = 0; i < md5Bytes.length; i++) {
int val = ((int) md5Bytes[i]) & 0xff;
if (val < 16)
hexValue.append("0");
hexValue.append(Integer.toHexString(val));
}
return hexValue.toString();
}
/**
* @Description 生成盐和加盐后的MD5码,并将盐混入到MD5码中,对MD5密码进行加强
**/
public static String generateSaltPassword(String password) {
Random random = new Random();
//生成一个16位的随机数,也就是所谓的盐
/**
* 此处的盐也可以定义成一个系统复杂点的常量,而不是非要靠靠随机数随机出来 两种方式任选其一 例如下面这行代码:
* 盐加密 :SALT的字符串是随意打的,目的是把MD5加密后的再次加密变得复杂
* public static final String SALT = "fskdhfiuhjfshfjhsad4354%@!@#%3";
**/
StringBuilder stringBuilder = new StringBuilder(16);
stringBuilder.append(random.nextInt(99999999)).append(random.nextInt(99999999));
int len = stringBuilder.length();
if (len < 16) {
for (int i = 0; i < 16 - len; i++) {
stringBuilder.append("0");
}
}
// 生成盐
String salt = stringBuilder.toString();
//将盐加到明文中,并生成新的MD5码
password = md5Hex(password + salt);
//将盐混到新生成的MD5码中,之所以这样做是为了后期更方便的校验明文和秘文,也可以不用这么做,不过要将盐单独存下来,不推荐这种方式
char[] cs = new char[48];
for (int i = 0; i < 48; i += 3) {
cs[i] = password.charAt(i / 3 * 2);
char c = salt.charAt(i / 3);
cs[i + 1] = c;
cs[i + 2] = password.charAt(i / 3 * 2 + 1);
}
return new String(cs);
}
/**
* @Description 验证明文和加盐后的MD5码是否匹配
**/
public static boolean verifySaltPassword(String password, String md5) {
//先从MD5码中取出之前加的盐和加盐后生成的MD5码
char[] cs1 = new char[32];
char[] cs2 = new char[16];
for (int i = 0; i < 48; i += 3) {
cs1[i / 3 * 2] = md5.charAt(i);
cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);
cs2[i / 3] = md5.charAt(i + 1);
}
String salt = new String(cs2);
//比较二者是否相同
return md5Hex(password + salt).equals(new String(cs1));
}
/**
* @Description 生成MD5密码
**/
private static String md5Hex(String src) {
try {
MessageDigest md5 = MessageDigest.getInstance("MD5");
byte[] bs = md5.digest(src.getBytes());
return new String(new Hex().encode(bs));
} catch (Exception e) {
return null;
}
}
public static void main(String args[]) {
// 原密码
String password = "123456";
System.out.println("明文(原生)密码:" + password);
// MD5加密后的密码
String MD5Password = SaltMD5Util.MD5(password);
System.out.println("普通MD5加密密码:" + MD5Password);
// 获取加盐后的MD5值
String SaltPassword = SaltMD5Util.generateSaltPassword(password);
System.out.println("加盐后的MD密码:" + SaltPassword);
System.out.println("加盐后的密码和原生密码是否是同一字符串:" + SaltMD5Util.verifySaltPassword(password, SaltPassword));
}
}
2、SHA-256 + Salt(不需要第三方依赖包)
SHA-256 是一种广泛使用的哈希算法,属于 SHA-2 家族。它生成固定长度的 256 位哈希值,计算速度快且实现简单。单独使用 SHA-256 不安全,因为它无法抵抗彩虹表攻击。因此,通常需要搭配 Salt(随机盐值) 使用。
import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;
public class PasswordUtils {
// 生成随机盐值
public static String generateSalt() {
byte[] salt = new byte[16];
new SecureRandom().nextBytes(salt);
return Base64.getEncoder().encodeToString(salt);
}
// 使用 SHA-256 进行加密
public static String hashPassword(String password, String salt) {
try {
MessageDigest digest = MessageDigest.getInstance("SHA-256");
String saltedPassword = salt + password;
byte[] hash = digest.digest(saltedPassword.getBytes());
for (int i = 0; i < 1000; i++) { // 多次迭代
hash = digest.digest(hash);
}
return Base64.getEncoder().encodeToString(hash);
} catch (Exception e) {
throw new RuntimeException("加密失败", e);
}
}
// 验证密码
public static boolean matches(String rawPassword, String salt, String hashedPassword) {
return hashPassword(rawPassword, salt).equals(hashedPassword);
}
public static void main(String[] args) {
String rawPassword = "mypassword";
String salt = PasswordUtils.generateSalt();
String hashedPassword = PasswordUtils.hashPassword(rawPassword, salt);
// 注意,要将盐保存数据库,密码匹配时要查询盐
System.out.println("随机盐值:" + salt);
System.out.println("加密后的密码:" + hashedPassword);
boolean isMatch = PasswordUtils.matches(rawPassword, salt, hashedPassword);
System.out.println("密码匹配结果:" + isMatch);
}
}
3、使用 BCrypt 进行哈希
BCrypt 是一种基于 Blowfish 加密算法的哈希函数,专为密码存储设计,具有以下特点:
• 内置加盐机制,避免彩虹表攻击。
• 支持设置计算复杂度,可增强哈希强度。
• 哈希结果固定为 60 个字符,方便存储。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
public class PasswordUtils {
private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
// 加密密码
public static String encode(String rawPassword) {
return encoder.encode(rawPassword);
}
// 验证密码
public static boolean matches(String rawPassword, String encodedPassword) {
return encoder.matches(rawPassword, encodedPassword);
}
public static void main(String[] args) {
String rawPassword = "mypassword";
String encodedPassword = PasswordUtils.encode(rawPassword);
System.out.println("加密后的密码:" + encodedPassword);
boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
System.out.println("密码匹配结果:" + isMatch);
}
}
4、使用 PBKDF2 进行哈希
PBKDF2(Password-Based Key Derivation Function 2)是一种基于密码的密钥派生函数,支持多次迭代计算,进一步增强安全性。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
public class PasswordUtils {
private static final Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();
// 加密密码
public static String encode(String rawPassword) {
return encoder.encode(rawPassword);
}
// 验证密码
public static boolean matches(String rawPassword, String encodedPassword) {
return encoder.matches(rawPassword, encodedPassword);
}
public static void main(String[] args) {
String rawPassword = "mypassword";
String encodedPassword = PasswordUtils.encode(rawPassword);
System.out.println("加密后的密码:" + encodedPassword);
boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
System.out.println("密码匹配结果:" + isMatch);
}
}
5、使用 Argon2 进行哈希
Argon2 是一种密码哈希算法,2015 年获得密码哈希竞赛(Password Hashing Competition)冠军。它目前被认为是最安全的密码哈希算法之一。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcprov-jdk18on</artifactId>
<version>1.80</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;
public class PasswordUtils {
private static final Argon2PasswordEncoder encoder = new Argon2PasswordEncoder();
// 加密密码
public static String encode(String rawPassword) {
return encoder.encode(rawPassword);
}
// 验证密码
public static boolean matches(String rawPassword, String encodedPassword) {
return encoder.matches(rawPassword, encodedPassword);
}
public static void main(String[] args) {
String rawPassword = "mypassword";
String encodedPassword = PasswordUtils.encode(rawPassword);
System.out.println("加密后的密码:" + encodedPassword);
boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
System.out.println("密码匹配结果:" + isMatch);
}
}
6、SCrypt
SCrypt 是一种基于密码的密钥派生函数,尤其适用于限制硬件加速的攻击(如 GPU 加速的暴力破解)。它通过增加内存使用量,显著提高了破解成本。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcprov-jdk18on</artifactId>
<version>1.80</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;
public class PasswordUtils {
private static final SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();
// 加密密码
public static String encode(String rawPassword) {
return encoder.encode(rawPassword);
}
// 验证密码
public static boolean matches(String rawPassword, String encodedPassword) {
return encoder.matches(rawPassword, encodedPassword);
}
public static void main(String[] args) {
String rawPassword = "mypassword";
String encodedPassword = PasswordUtils.encode(rawPassword);
System.out.println("加密后的密码:" + encodedPassword);
boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
System.out.println("密码匹配结果:" + isMatch);
}
}
![MCP:让AI工具协作变得像聊天一样简单 [特殊字符]](https://i-blog.csdnimg.cn/direct/e09176c05a7144f8982a633e92c816ca.png)
