给密码加盐是什么东西?

1. 用户的密码如何保存在数据库中

假设小明的账号是 ikun 密码是 jinitaimei
那么我们可以设计一张表, 来保存账号密码

CREATE TABLE account (
    username varchar(30),
    password varchar(100)
);

那么我们存入数据库之后, 就是这样的

小明账号存在数据库表里

可惜系统太拉了, 数据库被入侵了,

小黑子把鸡脚偷走了, 这一下好了, 小黑子能拿小明的账号登录系统了

---

2. 怎么防止数据库中的密码被别人获取呢

为了防止上面的情况, 我们需要把数据加密后再存入数据库

这里我们就通过对称加密手段, 把小明的密码加密

public static void main(String[] args) throws Exception {
    String password = "jinitaimei";
    System.out.println(encrypt(password));
}

加密后的字符串

• 经过一番计算 jinitaimei 就变成了 qdPxlb+qci6riQRvnm/k3A==

---

3. 密码还是泄露了

好了, 现在密码经过加密, 小黑子拿到了一串没有意义的字符串, 也没有秘钥反推不出来真正的密码

你以为你的密码就安全了?

这时小黑子发现, 好几个人密码加密后的密文都是一模一样的

加密后的密文

恰巧小黑子通过撞库等手段 知道了 james 的密码就是 jinitaimei

这下好了! 小黑子一下就知道了, 密文是 qdPxlb+qci6riQRvnm/k3A== 的用户, 密码实际就是jinitaimei

ikun 的秘密又不保了

---

4. 同样的密码, 不同的密文

看来要解决密码相同 导致密文相同 的问题,

我们需要一种办法:

• 同样的密码能加密成不同的密文

如何能起到这种效果呢?
那就是:

• 加盐

---

5. 在加密的时候加盐

假设我们的盐是一个随机的4位数数字

然后我们只要把原来的密码与4位数字拼接起来, 再进行加密, 就能得到加盐后的密文

我们来试试加密看看效果

public static void main(String[] args) throws Exception {
    String password = "jinitaimei";
    for (int i = 0; i < 4; i++) {
        String passwordWithSalt = password + RandomUtil.randomInt(1000, 9999);
        System.out.println(encrypt(passwordWithSalt));
    }
}

加盐后的密文

直接拉出数据库里的数据来看, 这四个人的密码好像完全不同

数据库

---

6. 解密

数据库里的password字段, 小黑子已经无法通过比对的方式知道了

我们来将密文解密看看

public static void main(String[] args) throws Exception {
    List miwenList = List.of(
            "NrCwWnOZmbXlgi1ZwJJPBA==",
            "XEXwpBk/95aTViwJQKQvZQ==",
            "XUrfbLcHcCFBKz5wEwLjGA==", 
            "9hwtmzoNe64/IdX9IkfU4A=="
    );
    for (String miwen : miwenList) {
        System.out.println(decrypt(miwen));
    }
}

解密后的字符串:

解密后的字符串

现在我们只要将这些字符串的最后4位删除, 就能得到真正的password了 jinitaimei !

---

下面展示一下对称加解密的代码以供参考,

这个加解密设计比较粗糙主要是为了展示加盐操作

• 加密

private static String encrypt(String content) throws Exception {
    String aesKey = "27d1cfcc412340d2";//秘钥
    Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
    Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
    cipher.init(Cipher.ENCRYPT_MODE, skeySpec, iv);
    byte[] encrypted = cipher.doFinal(content.getBytes("UTF-8"));
    return Base64.getEncoder().encodeToString(encrypted);
}

• 解密

private static String decrypt(String miwen) throws Exception {
    String aesKey = "27d1cfcc412340d2";//秘钥
    Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
    Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
    cipher.init(Cipher.DECRYPT_MODE, skeySpec, iv);
    byte[] encrypted1 = Base64.getDecoder().decode(miwen);
    byte[] original = cipher.doFinal(encrypted1);
    return new String(original, "UTF-8");
}

本文由mdnice多平台发布