1.什么是加鹽?
加鹽其實就是為了應(yīng)對這樣一種情況:如果有兩個或以上的用戶的密碼相同藏否,那么單純通過MD5等加密方式加密出來的密碼得到的結(jié)果就是一樣的瓶殃。
如果出現(xiàn)這樣的情況,就會造成破解了一個密碼就相當(dāng)于破解了復(fù)數(shù)個密碼副签,這對于用戶的信息安全是極大的威脅遥椿。
再想,如果放在后臺管理系統(tǒng)上面淆储,一個可以訪問后臺數(shù)據(jù)的管理員冠场,若是發(fā)現(xiàn)“超管”的密碼與他的密碼是一樣的,那么他就可以以“超管”的身份進行登錄本砰。
對于這種情況碴裙,我們只要混淆以下就能做到簡單的防范,這個在加密術(shù)語中稱為“加鹽”点额。就是在原有的材料(用戶自定義的密碼)中加入其他成分(一般是用戶自有且不變的因素)舔株,以此來增加系統(tǒng)復(fù)雜度。當(dāng)這種鹽和用戶密碼結(jié)合后还棱,再通過摘要處理载慈,就能得到隱蔽性更強的摘要值。
2.登錄流程
前端登錄——》后端獲取賬號密碼——》根據(jù)賬號查詢數(shù)據(jù)庫珍手,獲取該賬號對應(yīng)的鹽(salt办铡,在用戶注冊設(shè)置密碼時辞做,就已生成好salt)——》獲取鹽后在對密碼進行鹽加密,生成密文——》與數(shù)據(jù)庫中的密文對比判斷——》相同寡具,登陸成功秤茅;反之,登錄失敗
3.實現(xiàn)方法
考慮到安全性童叠,采用動態(tài)加鹽法
3.1 對用戶名進行哈希加鹽
這里的用戶名限于long類型框喳,例如手機號碼,這里的用戶名限制手機號碼就是唯一的厦坛,那么用戶的用戶名哈希鹽也是唯一的帖努;意思也就是將用戶的唯一的信息用來加密成鹽,就例如手機號
3.2 通過用戶名哈希鹽和前端傳輸?shù)拿艽a生成密碼密文
String ecPassWord = new SimpleHash("SHA-1", password, hashSalt).toString();
SimpleHash()方法是shrio框架囊括的一個類粪般,所以工程還得導(dǎo)入shrio依賴
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
得到加鹽加密后的密碼拼余,然后就與數(shù)據(jù)庫密文進行比對
注意:數(shù)據(jù)庫中的密文要與登陸中生成密文的方式保持一致
3.3 加鹽加密算法
public class PwdEnCoder {
public static void main(String[] args) {
System.out.println("密文:" + encode(201314520));
System.out.println("原文:" + decode(encode(201314520)));
}
/**
* 密文加密和解析字典,必須private亩歹,可以根據(jù)需要打亂這些字符的順序匙监,打亂后,可 以得到不同的密碼小作,最好按需打亂
*/
private static final char[] array = { 'q', 'w', 'e', 'r', 't', 'y', 'u', 'i', 'o', 'p', 'a', 's', 'd', 'f', 'g',
'h', 'j', 'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm', '8', '5', '2', '7', '3', '6', '4', '0', '9', '1',
'Q', 'W', 'E', 'R', 'T', 'Y', 'U', 'I', 'O', 'P', 'A', 'S', 'D', 'F', 'G', 'H', 'J', 'K', 'L', 'Z', 'X',
'C', 'V', 'B', 'N', 'M', '+', '-' };
/**
* @param number
* long類型的10進制數(shù),該數(shù)必須大于0
* @return string類型的密文
*/
public static String encode(long number) {
Long rest = number;
// 創(chuàng)建棧
Stack<Character> stack = new Stack<Character>();
StringBuilder result = new StringBuilder(0);
while (rest >= 1) {
// 進棧,
// 也可以使用(rest - (rest / 64) * 64)作為求余算法
stack.add(array[new Long(rest % 64).intValue()]);
rest = rest / 64;
}
for (; !stack.isEmpty();) {
// 出棧
result.append(stack.pop());
}
return result.toString();
}
/**
* 支持范圍是A-Z,a-z,0-9,+,-
*
* @param str
* @return
*/
public static long decode(String str) {
// 倍數(shù)
int multiple = 1;
long result = 0;
Character c;
for (int i = 0; i < str.length(); i++) {
c = str.charAt(str.length() - i - 1);
result += decodeChar(c) * multiple;
multiple = multiple * 64;
}
return result;
}
private static int decodeChar(Character c) {
for (int i = 0; i < array.length; i++) {
if (c == array[i]) {
return i;
}
}
return -1;
}
/**
* 哈希鹽
* @param str
* @return
*/
public static String getMD5(String str) {
try {
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(str.getBytes());
byte b[] = md.digest();
int i;
StringBuffer buf = new StringBuffer("");
for (int offset = 0; offset < b.length; offset++) {
i = b[offset];
if (i < 0) {
i += 256;
}
if (i < 16) {
buf.append("0");
}
buf.append(Integer.toHexString(i));
}
str = buf.toString();
} catch (Exception e) {
e.printStackTrace();
}
return str;
}
}
個人覺得這個生成的salt更好看...
4.另一種登錄流程和實現(xiàn)方法(推薦)
前端登錄——》后端獲取賬號密碼——》通過賬號查詢數(shù)據(jù)庫亭姥,判斷是否存在——》存在,獲取該賬號的鹽值(salt)和密文——》將前端傳輸?shù)拿艽a與數(shù)據(jù)庫查詢到的salt進行加鹽加密——》生成的密文與數(shù)據(jù)庫查詢到的密文進行校驗——》登錄成功或失敗
4.1 實現(xiàn)方式
public class SaltUtil {
public static String createSalt(){
return UUID.randomUUID().toString().replaceAll("-", "");
}
/**
* 加鹽加密
* @param srcPwd 原始密碼
* @param saltValue 鹽值
*/
public static String salt(Object srcPwd, String saltValue){
return new SimpleHash("MD5", srcPwd, saltValue, 1024).toString();
}
public static void main(String[] args) {
String srcPwd = "201314520";
String saltValue = createSalt();
System.out.println("原始密碼:"+srcPwd);
System.out.println("鹽值:"+saltValue);
System.out.println("密文:"+salt(srcPwd,saltValue));
}
}
這個方法和上面一個方法比起來可以一步到位顾稀,推薦(雖然生成的salt沒有一種“美感”)
