Java密码加密存储算法,SpringBoot 实现密码安全存储
文章目录
一、写在前面
日常开发中,用户密码存储是严禁明文存入数据库中的,原因如下:
1.数据泄露风险:如果数据库被攻击,所有用户的密码将直接暴露。
2.用户隐私保护:许多用户可能在多个平台使用相同的密码,明文存储会增加其他账户被攻破的风险。
3.法律与合规要求:许多安全标准(如 GDPR、OWASP 等)都明确禁止明文存储密码。
因此,密码在存储前必须进行加密或哈希处理。
二、密码加密存储方式
1、基于MD5加盐方式
1、首先引入依赖包
<!--MD5加密 对铭文信息进行加密操作-->
<dependency><groupId>commons-codec</groupId><artifactId>commons-codec</artifactId>
</dependency>
2、工具类,注意,盐可以考虑单独存储为一个数据库字段,此处为了方便
import org.apache.commons.codec.binary.Hex;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;/*** @Description 将明文密码进行MD5加盐加密**/
public class SaltMD5Util {/*** @Description 生成普通的MD5密码**/public static String MD5(String input) {MessageDigest md5 = null;try {// 生成普通的MD5密码md5 = MessageDigest.getInstance("MD5");} catch (NoSuchAlgorithmException e) {return "check jdk";} catch (Exception e) {e.printStackTrace();return "";}char[] charArray = input.toCharArray();byte[] byteArray = new byte[charArray.length];for (int i = 0; i < charArray.length; i++)byteArray[i] = (byte) charArray[i];byte[] md5Bytes = md5.digest(byteArray);StringBuffer hexValue = new StringBuffer();for (int i = 0; i < md5Bytes.length; i++) {int val = ((int) md5Bytes[i]) & 0xff;if (val < 16)hexValue.append("0");hexValue.append(Integer.toHexString(val));}return hexValue.toString();}/*** @Description 生成盐和加盐后的MD5码,并将盐混入到MD5码中,对MD5密码进行加强**/public static String generateSaltPassword(String password) {Random random = new Random();//生成一个16位的随机数,也就是所谓的盐/*** 此处的盐也可以定义成一个系统复杂点的常量,而不是非要靠靠随机数随机出来 两种方式任选其一 例如下面这行代码:* 盐加密 :SALT的字符串是随意打的,目的是把MD5加密后的再次加密变得复杂* public static final String SALT = "fskdhfiuhjfshfjhsad4354%@!@#%3";**/StringBuilder stringBuilder = new StringBuilder(16);stringBuilder.append(random.nextInt(99999999)).append(random.nextInt(99999999));int len = stringBuilder.length();if (len < 16) {for (int i = 0; i < 16 - len; i++) {stringBuilder.append("0");}}// 生成盐String salt = stringBuilder.toString();//将盐加到明文中,并生成新的MD5码password = md5Hex(password + salt);//将盐混到新生成的MD5码中,之所以这样做是为了后期更方便的校验明文和秘文,也可以不用这么做,不过要将盐单独存下来,不推荐这种方式char[] cs = new char[48];for (int i = 0; i < 48; i += 3) {cs[i] = password.charAt(i / 3 * 2);char c = salt.charAt(i / 3);cs[i + 1] = c;cs[i + 2] = password.charAt(i / 3 * 2 + 1);}return new String(cs);}/*** @Description 验证明文和加盐后的MD5码是否匹配**/public static boolean verifySaltPassword(String password, String md5) {//先从MD5码中取出之前加的盐和加盐后生成的MD5码char[] cs1 = new char[32];char[] cs2 = new char[16];for (int i = 0; i < 48; i += 3) {cs1[i / 3 * 2] = md5.charAt(i);cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);cs2[i / 3] = md5.charAt(i + 1);}String salt = new String(cs2);//比较二者是否相同return md5Hex(password + salt).equals(new String(cs1));}/*** @Description 生成MD5密码**/private static String md5Hex(String src) {try {MessageDigest md5 = MessageDigest.getInstance("MD5");byte[] bs = md5.digest(src.getBytes());return new String(new Hex().encode(bs));} catch (Exception e) {return null;}}public static void main(String args[]) {// 原密码String password = "123456";System.out.println("明文(原生)密码:" + password);// MD5加密后的密码String MD5Password = SaltMD5Util.MD5(password);System.out.println("普通MD5加密密码:" + MD5Password);// 获取加盐后的MD5值String SaltPassword = SaltMD5Util.generateSaltPassword(password);System.out.println("加盐后的MD密码:" + SaltPassword);System.out.println("加盐后的密码和原生密码是否是同一字符串:" + SaltMD5Util.verifySaltPassword(password, SaltPassword));}}2、SHA-256 + Salt(不需要第三方依赖包)
SHA-256 是一种广泛使用的哈希算法,属于 SHA-2 家族。它生成固定长度的 256 位哈希值,计算速度快且实现简单。单独使用 SHA-256 不安全,因为它无法抵抗彩虹表攻击。因此,通常需要搭配 Salt(随机盐值) 使用。
import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;public class PasswordUtils {// 生成随机盐值public static String generateSalt() {byte[] salt = new byte[16];new SecureRandom().nextBytes(salt);return Base64.getEncoder().encodeToString(salt);}// 使用 SHA-256 进行加密public static String hashPassword(String password, String salt) {try {MessageDigest digest = MessageDigest.getInstance("SHA-256");String saltedPassword = salt + password;byte[] hash = digest.digest(saltedPassword.getBytes());for (int i = 0; i < 1000; i++) { // 多次迭代hash = digest.digest(hash);}return Base64.getEncoder().encodeToString(hash);} catch (Exception e) {throw new RuntimeException("加密失败", e);}}// 验证密码public static boolean matches(String rawPassword, String salt, String hashedPassword) {return hashPassword(rawPassword, salt).equals(hashedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String salt = PasswordUtils.generateSalt();String hashedPassword = PasswordUtils.hashPassword(rawPassword, salt);// 注意,要将盐保存数据库,密码匹配时要查询盐System.out.println("随机盐值:" + salt);System.out.println("加密后的密码:" + hashedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, salt, hashedPassword);System.out.println("密码匹配结果:" + isMatch);}
}
3、使用 BCrypt 进行哈希
BCrypt 是一种基于 Blowfish 加密算法的哈希函数,专为密码存储设计,具有以下特点:
• 内置加盐机制,避免彩虹表攻击。
• 支持设置计算复杂度,可增强哈希强度。
• 哈希结果固定为 60 个字符,方便存储。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;public class PasswordUtils {private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码:" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果:" + isMatch);}
}
4、使用 PBKDF2 进行哈希
PBKDF2(Password-Based Key Derivation Function 2)是一种基于密码的密钥派生函数,支持多次迭代计算,进一步增强安全性。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;public class PasswordUtils {private static final Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码:" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果:" + isMatch);}
}
5、使用 Argon2 进行哈希
Argon2 是一种密码哈希算法,2015 年获得密码哈希竞赛(Password Hashing Competition)冠军。它目前被认为是最安全的密码哈希算法之一。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk18on</artifactId><version>1.80</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;public class PasswordUtils {private static final Argon2PasswordEncoder encoder = new Argon2PasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码:" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果:" + isMatch);}
}
6、SCrypt
SCrypt 是一种基于密码的密钥派生函数,尤其适用于限制硬件加速的攻击(如 GPU 加速的暴力破解)。它通过增加内存使用量,显著提高了破解成本。
1、引包,如果未使用 Spring Security,需要单独引入 spring-security-crypto
<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk18on</artifactId><version>1.80</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>
2、使用
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;public class PasswordUtils {private static final SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码:" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果:" + isMatch);}
}