博客系统中的加盐算法

目录

一、为什么要对密码进行加盐加密?

1、明文

[2、传统的 MD5](#2、传统的 MD5)

二、加盐加密

1、加盐算法实现思路

2、加盐算法解密思路

3、加盐算法代码实现

[三、使用 Spring Security 加盐](#三、使用 Spring Security 加盐)

[1、引入 Spring Security 框架](#1、引入 Spring Security 框架)

[2、排除 Spring Security 的自动加载](#2、排除 Spring Security 的自动加载)

[3、调用 Spring Security 的加盐](#3、调用 Spring Security 的加盐)


一、为什么要对密码进行加盐加密?

1、明文

明文是一定不行的,因为会很容易就会泄露用户的个人隐私

2、传统的 MD5

传统的 MD5 是有规律可循的,虽然 MD5 是不可逆的,但是是可以被暴力破解的

因为一个 字符串的 MD5 的值是固定的,当你有了一张 MD5 的穷举表(彩虹表)之后,这张表中记录了几乎所有字符串的 MD5 对照表,就可以对密码进行暴力破解

二、加盐加密

所以我们选择使用加盐加密对密码进行处理,而这种处理方法中的盐值是随机不固定的,随机也就意味着没有规律可言

在进行了加盐加密之后,同样是一串明文密码,在不同时间对其进行调用,结果都是不同的,这也是因为每次调用,都有一个随机的盐值

1、加盐算法实现思路

每次调用方法的时候,产生盐值(唯一的),然后使用这个盐值再加上我们的密码,最终得到了一个密码

2、加盐算法解密思路

首先需要两个密码:

1、需要验证的密码(用户输入的密码)

2、最终加密的密码(存在数据库中的密码)

核心思想:得到盐值

我们将盐值存放到最终密码的某一个位置

从密码中 拿到盐值之后,我们才能对原始用户输入的密码按照相同的路径进行加密,然后和最终的密码进行对比,从而判断用户输入的密码是否正确

验证密码伪代码:

已知:用户输入的明文密码,此用户在数据库中存储的最终密码(盐值 $ 加密后密码)

1、从最终密码中得到盐值

2、将用户输入的明文密码 + 盐值 进行加密操作 = 加密后的密码

3、使用 盐值 + 分隔符 + 加密后的密码 生成数据库存储的密码

4、对比生成的最终密码和数据库最终的密码是否相等

如果相等,那么用户名和密码就是对的,反之则是密码输入错误

3、加盐算法代码实现

java 复制代码
public class PasswordUtils {
    /**
     * 1、 加盐并生成密码
     * @param password 明文密码
     * @return 保存到数据库中的密码
     */
    public static String encrypt(String password){
        // 产生盐值(32位)
        String salt = UUID.randomUUID().toString().replace("-","");
        // 生成加盐之后的密码
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        // 生成最终的密码 (保存到数据库中的密码)【约定格式: 32位盐值 + $ + 32位加盐后密码】
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     * 2、生成加盐的密码(方法一的重载)
     * @param password 明文
     * @param salt 盐值
     * @return 数据库中的最终密码
     */
    public static String encrypt(String password,String salt) {
        // 生成加盐之后的密码
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        // 生成最终的密码
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     *  3、验证密码
     * @param inputPassword 用户输入的明文密码
     * @param finalPassword 数据库中存储的最终密码
     * @return
     */
    public static boolean check(String inputPassword,String finalPassword){
        if (!StringUtils.hasLength(inputPassword) || !StringUtils.hasLength(finalPassword)
           || finalPassword.length() != 65){
           return false;
        }
         // 1、得到盐值
        String salt = finalPassword.split("\\$")[0];
         // 2、使用加密方式对明文和盐值进行加密
        String confirmPassword = encrypt(inputPassword,salt);
        // 进行对比
        return confirmPassword.equals(finalPassword);

    }

/*        public static void main(String[] args) {
        String password = "123456";
        String finalPassword = PasswordUtils.encrypt(password);
        System.out.println("加密:" + PasswordUtils.encrypt(password));
        String inputPassword = "12345";
            System.out.println("对比:" + inputPassword + "是否等于" + password + "结果" +
                    PasswordUtils.check(inputPassword,finalPassword));
        String inputPassword2 = "123456";
            System.out.println("对比:" + inputPassword2 + "是否等于" + password + "结果" +
                    PasswordUtils.check(inputPassword2,finalPassword));
    }*/
}

三、使用 Spring Security 加盐

1、引入 Spring Security 框架

XML 复制代码
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2、排除 Spring Security 的自动加载

java 复制代码
@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})

3、调用 Spring Security 的加盐

java 复制代码
 BCryPasswordEncoder passwordEncoder = new BCryPasswordEncoder();
        String password = "123456";
        String finalPassword = passwordEncoder.encode(password);
        System.out.println("第一次加密:" + finalPassword);
        System.out.println("第二次加密:" + passwordEncoder.encode(password));
        System.out.println("第三次加密:" + passwordEncoder.encode(password));

        // 验证
        String inpuPassword = "12345";
        System.out.println("错误密码比对结果:" + passwordEncoder.matches(inpuPassword,finalPassword));
        String inputPassword2 = "123456";
        System.out.println("错误密码比对结果:" + passwordEncoder.matches(inpuPassword2,finalPassword));
相关推荐
2603_9547083120 分钟前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
其实防守也摸鱼27 分钟前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
ZhengEnCi2 小时前
S02-SpringBoot实体类新增字段对已有数据的影响及自动DDL同步机制详解
数据库·spring boot
程序员张32 小时前
SpringBoot集成BCrypt密码加密库
java·spring boot·后端
CaffeinePro2 小时前
FastAPI数据库集成SQLAlchemy异步ORM全方案
后端·fastapi
小旭Coding2 小时前
凌晨告警轰炸!Go 服务协程只增不减,内存持续暴涨直至 OOM
后端
半个落月2 小时前
用 LangChain.js 手写一个能读写文件和执行命令的 Mini Cursor
javascript·人工智能·后端
liguojun20252 小时前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节
Promise微笑2 小时前
红外分辨率 160×120、320×240、384×288 与 640×480实战选型指南
大数据·运维·人工智能·物联网
952363 小时前
RabbitMQ-基础操作
java·spring boot·分布式·后端·spring·rabbitmq