1.什么是加盐?
加盐其实就是为了应对这样一种情况:如果有两个或以上的用户的密码相同,那么单纯通过MD5等加密方式加密出来的密码得到的结果就是一样的。
如果出现这样的情况,就会造成破解了一个密码就相当于破解了复数个密码,这对于用户的信息安全是极大的威胁。
再想,如果放在后台管理系统上面,一个可以访问后台数据的管理员,若是发现“超管”的密码与他的密码是一样的,那么他就可以以“超管”的身份进行登录。
对于这种情况,我们只要混淆以下就能做到简单的防范,这个在加密术语中称为“加盐”。就是在原有的材料(用户自定义的密码)中加入其他成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。
2.登录流程
前端登录——》后端获取账号密码——》根据账号查询数据库,获取该账号对应的盐(salt,在用户注册设置密码时,就已生成好salt)——》获取盐后在对密码进行盐加密,生成密文——》与数据库中的密文对比判断——》相同,登陆成功;反之,登录失败
3.实现方法
考虑到安全性,采用动态加盐法
3.1 对用户名进行哈希加盐
这里的用户名限于long类型,例如手机号码,这里的用户名限制手机号码就是唯一的,那么用户的用户名哈希盐也是唯一的;意思也就是将用户的唯一的信息用来加密成盐,就例如手机号
3.2 通过用户名哈希盐和前端传输的密码生成密码密文
String ecPassWord = new SimpleHash("SHA-1", password, hashSalt).toString();
SimpleHash()方法是shrio框架囊括的一个类,所以工程还得导入shrio依赖
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
得到加盐加密后的密码,然后就与数据库密文进行比对
注意:数据库中的密文要与登陆中生成密文的方式保持一致
3.3 加盐加密算法
public class PwdEnCoder {
public static void main(String[] args) {
System.out.println("密文:" + encode(201314520));
System.out.println("原文:" + decode(encode(201314520)));
}
/**
* 密文加密和解析字典,必须private,可以根据需要打乱这些字符的顺序,打乱后,可 以得到不同的密码,最好按需打乱
*/
private static final char[] array = { 'q', 'w', 'e', 'r', 't', 'y', 'u', 'i', 'o', 'p', 'a', 's', 'd', 'f', 'g',
'h', 'j', 'k', 'l', 'z', 'x', 'c', 'v', 'b', 'n', 'm', '8', '5', '2', '7', '3', '6', '4', '0', '9', '1',
'Q', 'W', 'E', 'R', 'T', 'Y', 'U', 'I', 'O', 'P', 'A', 'S', 'D', 'F', 'G', 'H', 'J', 'K', 'L', 'Z', 'X',
'C', 'V', 'B', 'N', 'M', '+', '-' };
/**
* @param number
* long类型的10进制数,该数必须大于0
* @return string类型的密文
*/
public static String encode(long number) {
Long rest = number;
// 创建栈
Stack<Character> stack = new Stack<Character>();
StringBuilder result = new StringBuilder(0);
while (rest >= 1) {
// 进栈,
// 也可以使用(rest - (rest / 64) * 64)作为求余算法
stack.add(array[new Long(rest % 64).intValue()]);
rest = rest / 64;
}
for (; !stack.isEmpty();) {
// 出栈
result.append(stack.pop());
}
return result.toString();
}
/**
* 支持范围是A-Z,a-z,0-9,+,-
*
* @param str
* @return
*/
public static long decode(String str) {
// 倍数
int multiple = 1;
long result = 0;
Character c;
for (int i = 0; i < str.length(); i++) {
c = str.charAt(str.length() - i - 1);
result += decodeChar(c) * multiple;
multiple = multiple * 64;
}
return result;
}
private static int decodeChar(Character c) {
for (int i = 0; i < array.length; i++) {
if (c == array[i]) {
return i;
}
}
return -1;
}
/**
* 哈希盐
* @param str
* @return
*/
public static String getMD5(String str) {
try {
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(str.getBytes());
byte b[] = md.digest();
int i;
StringBuffer buf = new StringBuffer("");
for (int offset = 0; offset < b.length; offset++) {
i = b[offset];
if (i < 0) {
i += 256;
}
if (i < 16) {
buf.append("0");
}
buf.append(Integer.toHexString(i));
}
str = buf.toString();
} catch (Exception e) {
e.printStackTrace();
}
return str;
}
}
个人觉得这个生成的salt更好看...
4.另一种登录流程和实现方法(推荐)
前端登录——》后端获取账号密码——》通过账号查询数据库,判断是否存在——》存在,获取该账号的盐值(salt)和密文——》将前端传输的密码与数据库查询到的salt进行加盐加密——》生成的密文与数据库查询到的密文进行校验——》登录成功或失败
4.1 实现方式
public class SaltUtil {
public static String createSalt(){
return UUID.randomUUID().toString().replaceAll("-", "");
}
/**
* 加盐加密
* @param srcPwd 原始密码
* @param saltValue 盐值
*/
public static String salt(Object srcPwd, String saltValue){
return new SimpleHash("MD5", srcPwd, saltValue, 1024).toString();
}
public static void main(String[] args) {
String srcPwd = "201314520";
String saltValue = createSalt();
System.out.println("原始密码:"+srcPwd);
System.out.println("盐值:"+saltValue);
System.out.println("密文:"+salt(srcPwd,saltValue));
}
}
这个方法和上面一个方法比起来可以一步到位,推荐(虽然生成的salt没有一种“美感”)
