密码如何“加盐加密”处理?程序员一定要掌握的知识

2023-10-25 11:59

本文主要是介绍密码如何“加盐加密”处理?程序员一定要掌握的知识,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

前言

一、手写加盐算法

1.1、加密

1.1.1、加密思路

1.1.2、加密简图

1.1.3、代码实现

1.2、解密

1.2.1、解密思路

1.2.2、解密代码

1.3、验证

二、使用 Spring Security 框架实现加盐算法


前言


为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~ 

接下来我会讲两种加盐加密方式(手写加盐算法、使用 Spring Security 框架),那么就一起来看一下使用加盐的方式进行加密和解密吧~

一、手写加盐算法


实际上就是一个加密解密的过程~

1.1、加密

1.1.1、加密思路

加密的主要有以下几步:

  1. 产生随机盐值(32位)。解释:这里可以使用 UUID 中的 randomUUID 方法生成一个长度为 36 位的随机盐值(格式为xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (8-4-4-4-12)),而我们约定的格式中(完全由自己定义)不需要"-",因此将产生的随机盐值先使用 toString 方法转化成字符串,最后用 replaceAll 方法将字符串中的 "-" 用空字符串代替即可。
  2. 将盐值和明文拼接起来,然后整体使用 md5 加密,得到密文(32位)。解释:这里就是对明文进行加密的过程。
  3. 根据自己约定的格式,使用 “32位盐值 +&+ 32位加盐后得到的密文” 方式进行加密得到最终密码。解释:我们这样去约定格式,是为了更容易的得到盐值(通过 split 以 $ 为分割符进行分割,得到的字符串数组下标 0 的就是我们需要的盐值),让我们能够解密。

Ps:UUID的第一个部分与时间有关,如果你在生成一个UUID之后,过几秒又生成一个UUID,则第一个部分不同,其余相同。UUID的唯一缺陷在于生成的结果串会比较长。

1.1.2、加密简图

1.1.3、代码实现

    /*** 加盐并生成密码* @param password 用户输入的明文密码* @return 保存到数据库中的密码*/public static String encrypt(String password) {// 产生盐值(32位)  这里要注意去掉 UUID 生成 -String salt = UUID.randomUUID().toString().replaceAll("-", "");// 生成加盐之后的密码((盐值 + 密码)整体 md5 加密)String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());// 生成最终密码(保存到数据库中的密码)[自己约定的格式:32位盐值 +&+ 32位加盐后的密码]// 这样约定格式是为了解密的时候方便得到盐值String finalPassword = salt + "$" + saltPassword;return finalPassword;}

1.2、解密

1.2.1、解密思路

解密的一个大体思路如下:

  1. 用户输入的密码使用刚刚讲到的加密思路再进行加密一次。解释:这里我们重载上面讲到的加密方法,需要传入两个参数,分别是用户输入的密码和盐值(这里的盐值我们可以通过对数据库中的最终加密密码进行字符串分割 $ 符号得到),然后对用户信息进行加密。
  2. 将刚刚加密的密码 对比 数据库保存的用户加密的最终密码 是否一致即可。

通过上述思路可以知道,实习解密思路需要两个方法~

1.2.2、解密代码

/*** 加盐生成密码(方法1的重载)* 此方法在验证密码的适合需要(将用户输入的密码使用同样的盐值加密后对比)* @param password 明文* @param salt 固定的盐值* @return 最终密码*/public static String encrypt(String password, String salt) {// 生成加盐后的密码String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());// 生成最终密码(约定格式: 32位 盐值 +&+ 32位加盐后的密码)String finalPassword = salt + "$" + saltPassword;return finalPassword;}/*** 验证密码* @param inputPassword 用户输入明文密码* @param finalPassword 数据库中保存的最终密码* @return*/public static boolean check(String inputPassword, String finalPassword) {// 判空处理if(StringUtils.hasLength(inputPassword) && StringUtils.hasLength(finalPassword) &&finalPassword.length() == 65) {// 得到盐值(之前约定: $前面的就是盐值)String salt = finalPassword.split("\\$")[0];// 由于 $ 在这里也可以表示通配符,所以需要使用 \\ 进行转义// 使用之前的加密步骤将明文进行加密,生成最终密码String confirmPassword = PasswordUtils.encrypt(inputPassword, salt);// 对比两个最终密码是否相同return confirmPassword.equals(finalPassword);}return false;}

1.3、验证

我们可以先将上述方法都封装在一个类中,测试的时候直接调用此类即可。 

代码如下:

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;import java.util.UUID;public class PasswordUtils {/*** 加盐并生成密码* @param password 用户输入的明文密码* @return 保存到数据库中的密码*/public static String encrypt(String password) {// 产生盐值(32位)  这里要注意去掉 UUID 生成 -String salt = UUID.randomUUID().toString().replaceAll("-", "");// 生成加盐之后的密码((盐值 + 密码)整体 md5 加密)String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());// 生成最终密码(保存到数据库中的密码)[自己约定的格式:32位盐值 +&+ 32位加盐后的密码]// 这样约定格式是为了解密的时候方便得到盐值String finalPassword = salt + "$" + saltPassword;return finalPassword;}/*** 加盐生成密码(方法1的重载)* 此方法在验证密码的适合需要(将用户输入的密码使用同样的盐值加密后对比)* @param password 明文* @param salt 固定的盐值* @return 最终密码*/public static String encrypt(String password, String salt) {// 生成加盐后的密码String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());// 生成最终密码(约定格式: 32位 盐值 +&+ 32位加盐后的密码)String finalPassword = salt + "$" + saltPassword;return finalPassword;}/*** 验证密码* @param inputPassword 用户输入明文密码* @param finalPassword 数据库中保存的最终密码* @return*/public static boolean check(String inputPassword, String finalPassword) {// 判空处理if(StringUtils.hasLength(inputPassword) && StringUtils.hasLength(finalPassword) &&finalPassword.length() == 65) {// 得到盐值(之前约定: $前面的就是盐值)String salt = finalPassword.split("\\$")[0];// 由于 $ 在这里也可以表示通配符,所以需要使用 \\ 进行转义// 使用之前的加密步骤将明文进行加密,生成最终密码String confirmPassword = PasswordUtils.encrypt(inputPassword, salt);// 对比两个最终密码是否相同return confirmPassword.equals(finalPassword);}return false;}}

首先我们可以模拟用户注册,对密码进行连续的三次加密,观察最后结果,是否每次产生的密码都不一致~ 最后模拟用户登录,分别输入正确的密码和错误的密码,观察运行结果~

代码如下:

	public static void main(String[] args) {//用户注册时的密码String password = "1234";//分别进行三次解密,观察结果String finalPassword = PasswordUtils.encrypt(password);System.out.println(finalPassword);System.out.println(PasswordUtils.encrypt(password));System.out.println(PasswordUtils.encrypt(password));//验证密码(用户登录)String input1 = "1234";//正确密码String input2= "12345";//错误密码System.out.println("密码1为正确密码:" + PasswordUtils.check(input1, finalPassword));System.out.println("密码2为错误密码:" + PasswordUtils.check(input2, finalPassword));}

运行结果如下:

二、使用 Spring Security 框架实现加盐算法


首先需要引入 Spring Security 依赖

		<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>

具体实现:

实际上我们刚刚手写的加盐算法就是在模仿着写 Spring Security 的加盐算法的底层,因此使用上也差不多,直接上代码~

Ps:值得注意的是,如果你只需要使用该框架中的加密方法,那么需要在文件的启动类 DemoApplication 中排除 Spring Security 框架的自检测机制(此框架有自己的登录验证机制,不关闭的话会多出一个登录页面)代码如下:

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})//排除 Spring Security 自动加载

代码如下:

	/*** 使用 spring Security 实现加盐* @param args*/public static void main(String[] args) {//加盐的工具类BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();//用户注册时的密码String password = "1234";//加密(连续加密三次观察结果)String finalPassword = passwordEncoder.encode(password);System.out.println(finalPassword);System.out.println(passwordEncoder.encode(password));System.out.println(passwordEncoder.encode(password));//模拟用户登录String s1 = "1234";//正确密码String s2 = "12345";//错误密码System.out.println("输入正确的密码:" + passwordEncoder.matches(s1, finalPassword));System.out.println("输入错误的密码:" + passwordEncoder.matches(s2, finalPassword));}

这篇关于密码如何“加盐加密”处理?程序员一定要掌握的知识的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/282432

相关文章

python处理带有时区的日期和时间数据

《python处理带有时区的日期和时间数据》这篇文章主要为大家详细介绍了如何在Python中使用pytz库处理时区信息,包括获取当前UTC时间,转换为特定时区等,有需要的小伙伴可以参考一下... 目录时区基本信息python datetime使用timezonepandas处理时区数据知识延展时区基本信息

利用python实现对excel文件进行加密

《利用python实现对excel文件进行加密》由于文件内容的私密性,需要对Excel文件进行加密,保护文件以免给第三方看到,本文将以Python语言为例,和大家讲讲如何对Excel文件进行加密,感兴... 目录前言方法一:使用pywin32库(仅限Windows)方法二:使用msoffcrypto-too

Python Transformers库(NLP处理库)案例代码讲解

《PythonTransformers库(NLP处理库)案例代码讲解》本文介绍transformers库的全面讲解,包含基础知识、高级用法、案例代码及学习路径,内容经过组织,适合不同阶段的学习者,对... 目录一、基础知识1. Transformers 库简介2. 安装与环境配置3. 快速上手示例二、核心模

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

Java Response返回值的最佳处理方案

《JavaResponse返回值的最佳处理方案》在开发Web应用程序时,我们经常需要通过HTTP请求从服务器获取响应数据,这些数据可以是JSON、XML、甚至是文件,本篇文章将详细解析Java中处理... 目录摘要概述核心问题:关键技术点:源码解析示例 1:使用HttpURLConnection获取Resp

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用

Java实现优雅日期处理的方案详解

《Java实现优雅日期处理的方案详解》在我们的日常工作中,需要经常处理各种格式,各种类似的的日期或者时间,下面我们就来看看如何使用java处理这样的日期问题吧,感兴趣的小伙伴可以跟随小编一起学习一下... 目录前言一、日期的坑1.1 日期格式化陷阱1.2 时区转换二、优雅方案的进阶之路2.1 线程安全重构2

Python处理函数调用超时的四种方法

《Python处理函数调用超时的四种方法》在实际开发过程中,我们可能会遇到一些场景,需要对函数的执行时间进行限制,例如,当一个函数执行时间过长时,可能会导致程序卡顿、资源占用过高,因此,在某些情况下,... 目录前言func-timeout1. 安装 func-timeout2. 基本用法自定义进程subp