Java通过BCrypt加密
2015-06-26 20:08
489 查看
一、概述
在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。
目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全,但加密更慢。
二、使用BCrypt
首先,可以在官网中取得源代码http://www.mindrot.org/projects/jBCrypt/
然后通过Ant进行编译。编译之后得到jbcrypt.jar。也可以不需要进行编译,而直接使用源码中的java文件(本身仅一个文件)。
下面是官网的一个Demo。
在这个例子中,
是核心。通过调用BCrypt类的静态方法hashpw对password进行加密。第二个参数就是我们平时所说的加盐。
该方法就是对用户后来输入的密码进行比较。如果能够匹配,返回true。
三、加盐
如果两个人或多个人的密码相同,加密后保存会得到相同的结果。破一个就可以破一片的密码。如果名为A的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。
其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。
在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。
目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全,但加密更慢。
二、使用BCrypt
首先,可以在官网中取得源代码
然后通过Ant进行编译。编译之后得到jbcrypt.jar。也可以不需要进行编译,而直接使用源码中的java文件(本身仅一个文件)。
下面是官网的一个Demo。
publicclassBCryptDemo{
publicstaticvoidmain(String[]args){
//Hashapasswordforthefirsttime
Stringpassword="testpassword";
Stringhashed=BCrypt.hashpw(password,BCrypt.gensalt());
System.out.println(hashed);
//gensalt'slog_roundsparameterdeterminesthecomplexity
//theworkfactoris2**log_rounds,andthedefaultis10
Stringhashed2=BCrypt.hashpw(password,BCrypt.gensalt(12));
//Checkthatanunencryptedpasswordmatchesonethathas
//previouslybeenhashed
Stringcandidate="testpassword";
//Stringcandidate="wrongtestpassword";
if(BCrypt.checkpw(candidate,hashed))
System.out.println("Itmatches");
else
System.out.println("Itdoesnotmatch");
}
}
在这个例子中,
BCrypt.hashpw(password,BCrypt.gensalt())
是核心。通过调用BCrypt类的静态方法hashpw对password进行加密。第二个参数就是我们平时所说的加盐。
BCrypt.checkpw(candidate,hashed)
该方法就是对用户后来输入的密码进行比较。如果能够匹配,返回true。
三、加盐
如果两个人或多个人的密码相同,加密后保存会得到相同的结果。破一个就可以破一片的密码。如果名为A的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。
其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。
相关文章推荐
- Java Socket应用(三)——java中URL的应用
- java.util.vector中的vector的详细用法
- JavaSE笔记之<继承深入理解>
- Java Socket应用(二)——java中InetAddress的应用
- spring 事务详解
- Java环境变量的配置及自己遇到的问题
- spring IOC 详解
- Java中的静态绑定和动态绑定
- Java中ArrayList类的用法(转)
- Java 持有对象
- java获取当前系统信息
- Java主线程等待所有子线程执行完毕再执行解决办法
- 深入探究JVM(1) - Java的内存区域解析
- ICTCLAS2015 Java版本的使用方法
- 【密钥算法】Java加密技术(八)---Java证书体系
- java设计模式之——代理模式
- 【密钥算法】Java加密技术(七)---ECC 数据加密算法
- 【密钥算法】Java加密技术(六)---DSA 数字签名算法
- 【密钥算法】Java加密技术(五)---DH 数据加密算法
- 【密钥算法】Java加密技术(四)---RSA数据加密算法(1)