密码加盐加密存储及其登录验证方式

概述

本文介绍一种常用的密码加密存储方式，并附上登录时验证用户密码的方法。代码用 Java 来实现，结尾附带有 github 的源码链接。

创建账号

用户注册账号，填写好密码后传递到后端。密码的形式一般是经过前端 md5 加密过的。

账号实体类

public class Account {

    /**
     * 其他账号的字段省略
     */

    private String salt;

    private String hashedCredential;

	// 省略getter setter方法
}

密码处理逻辑

/**
 * 创建账号
 * @param principle 用户账号
 * @param frontendPassword 用户密码，用户在前端输入的密码以 md5 的形式传到后端
 */
public void createAccount(String principle, String frontendPassword) {

    Account account = md5WithSalt(frontendPassword);

    // 保存账号，模拟数据库保存
    DB_ACCOUNTS.put(principle, account);
}

// ~ private
private Account md5WithSalt(String frontendPassword) {

    Account account = new Account();
    
    // 随机字符串做盐
    account.setSalt(UUID.randomUUID().toString());
    // 盐和密码结合取hash值
    account.setHashedCredential(SecurityUtil.md5Hex(account.getSalt() + frontendPassword));

    return account;
}

登录校验

根据账号来获取它的盐并且和登录时输入的密码求hash，此 hash 值和数据库存取的 hash 值相等则密码校验通过。

/**
 * 登录逻辑
 * @param principle 用户账号
 * @param frontendPassword 用户密码，用户在前端输入的密码以 md5 的形式传到后端
 * @return true-登录成功，false-登录失败
 */
public Boolean login(String principle, String frontendPassword) {

    Account account = DB_ACCOUNTS.get(principle);
    if (account == null) {
        return false;
    }

    return account.getHashedCredential()
            .equals(SecurityUtil.md5Hex(account.getSalt() + frontendPassword));
}

示例源码

LoginDemo.java