BCrypt 密码数据加解密运用

前言:

当涉及到存储用户密码时,确保密码的安全非常重要。以往,我们通常都是采用 MD5这种不可逆算法来进行密码数据的加密后存储,虽然MD5算法是一种常见的哈希函数,但是它已经不再被认为是安全的选项。

  1. 常规MD5加密,可使用彩虹表碰撞来进行攻击,可以匹配出原密码或者能得到相同密文的明文。
  2. 加盐使攻击者无法采用特定的查询表或彩虹表快速破解大量哈希值,但不能阻止字典攻击暴力攻击 。这里假设攻击者已经获取到用户数据库,意味着攻击者知道每个用户的盐值,根据Kerckhoffs's principle,应该假设攻击者知道用户系统使用密码加密算法,如果攻击者使用高端GPU定制的ASIC,每秒可以进行数十亿次哈希计算,针对每个用户进行字典查询的效率依旧很高效。

相较于MD5,推荐使用更安全的密码哈希函数,如BCryptScrypt。这里我们来学习一下BCrypt来实现密码数据的加解密操作。


什么是Bcrypt ?

Bcrypt 是一个跨平台的文件加密工具 。由它加密的文件可在所有支持的操作系统处理器 上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。

Bcrypt是单向hash算法, 不可逆向解密 ,生成的密文是60位的。


Bcrypt加密的特点:

  1. 相同明文通过Bcrypt生成的密文每次都是不一样的,MD5则相同。这样就无法通过直接比对密文来反推明文。
  2. Bcrypt是种慢哈希算法 ,执行时间较长 。有文章指出,针对某一字符串,Bcrypt执行一次加密约0.3秒,MD5加密约1微秒(百万分之一秒)。使得暴力破解Bcrypt的时间成本很高.
  3. Bcrypt加密长度60位 ,MD5是32位,提高穷举难度。
  4. Bcrypt算法是跨平台的加密算法,数据库迁移后,不会影响原数据的验证

使用工具类

java 复制代码
import org.mindrot.jbcrypt.BCrypt;

public class PasswordUtils {

    // 生成哈希密码
    public static String hashPassword(String password) {
        String salt = BCrypt.gensalt(); // 生成随机盐值
        String hashedPassword = BCrypt.hashpw(password, salt); // 生成哈希密码
        return hashedPassword;
    }

    // 验证密码
    public static boolean checkPassword(String password, String hashedPassword) {
        return BCrypt.checkpw(password, hashedPassword);
    }
}
相关推荐
serene9411 分钟前
IntelliJ IDEA 2025.2 和 JetBrains Rider 2025.1 恢复git commit为模态窗口
java·git·intellij-idea
南客先生15 分钟前
5G融合消息PaaS项目深度解析 - Java架构师面试实战
java·微服务·高并发·paas·分布式系统·缓存策略·5g融合消息
幽络源小助理17 分钟前
SpringBoot物资管理系统 | JavaWeb项目设计与实现
java·springboot·javaweb
掘金詹姆斯25 分钟前
LangChain4j—人工智能服务 AIService(三)
java·人工智能
掘金詹姆斯25 分钟前
LangChain4j—聊天记忆 Chat memory(四)
java·人工智能
Chase_______26 分钟前
Java后端开发——分层解耦详解
java·开发语言·spring·web
喝可乐的布偶猫27 分钟前
Java----super 关键字
java·开发语言
篱笆院的狗34 分钟前
Java 中 ConcurrentHashMap 1.7 和 1.8 之间有哪些区别?
java·开发语言
与秋逐鹿¥1 小时前
在Mybatis中为什么要同时指定扫描mapper接口和 mapper.xml 文件,理论单独扫描 xml 文件就可以啊
java·tomcat·mybatis
异常君1 小时前
Netty Reactor 线程模型详解:构建高性能网络应用的关键
java·后端·netty