1. 用户的密码如何保存在数据库中
假设小明的账号是 ikun 密码是 jinitaimei
那么我们可以设计一张表, 来保存账号密码
CREATE TABLE account (
username varchar(30),
password varchar(100)
);
那么我们存入数据库之后, 就是这样的
小明账号存在数据库表里
可惜系统太拉了, 数据库被入侵了,
小黑子把鸡脚偷走了, 这一下好了, 小黑子能拿小明的账号登录系统了
2. 怎么防止数据库中的密码被别人获取呢
为了防止上面的情况, 我们需要把数据加密后再存入数据库
这里我们就通过对称加密手段, 把小明的密码加密
public static void main(String[] args) throws Exception {
String password = "jinitaimei";
System.out.println(encrypt(password));
}
加密后的字符串
- 经过一番计算
jinitaimei就变成了qdPxlb+qci6riQRvnm/k3A==
3. 密码还是泄露了
好了, 现在密码经过加密, 小黑子拿到了一串没有意义的字符串, 也没有秘钥反推不出来真正的密码
你以为你的密码就安全了?
这时小黑子发现, 好几个人密码加密后的密文都是一模一样的
加密后的密文
恰巧小黑子通过撞库等手段 知道了 james 的密码就是 jinitaimei
这下好了! 小黑子一下就知道了, 密文是 qdPxlb+qci6riQRvnm/k3A== 的用户, 密码实际就是jinitaimei
ikun 的秘密又不保了
4. 同样的密码, 不同的密文
看来要解决密码相同 导致密文相同 的问题,
我们需要一种办法:
- 同样的密码能加密成不同的密文
如何能起到这种效果呢?
那就是:
- 加盐
5. 在加密的时候加盐
假设我们的盐是一个随机的4位数数字
然后我们只要把原来的密码与4位数字拼接起来, 再进行加密, 就能得到加盐后的密文
我们来试试加密看看效果
public static void main(String[] args) throws Exception {
String password = "jinitaimei";
for (int i = 0; i < 4; i++) {
String passwordWithSalt = password + RandomUtil.randomInt(1000, 9999);
System.out.println(encrypt(passwordWithSalt));
}
}
加盐后的密文
直接拉出数据库里的数据来看, 这四个人的密码好像完全不同
数据库
6. 解密
数据库里的password字段, 小黑子已经无法通过比对的方式知道了
我们来将密文解密看看
public static void main(String[] args) throws Exception {
List<String> miwenList = List.of(
"NrCwWnOZmbXlgi1ZwJJPBA==",
"XEXwpBk/95aTViwJQKQvZQ==",
"XUrfbLcHcCFBKz5wEwLjGA==",
"9hwtmzoNe64/IdX9IkfU4A=="
);
for (String miwen : miwenList) {
System.out.println(decrypt(miwen));
}
}
解密后的字符串:
解密后的字符串
现在我们只要将这些字符串的最后4位删除, 就能得到真正的password了 jinitaimei !
下面展示一下对称加解密的代码以供参考,
这个加解密设计比较粗糙主要是为了展示加盐操作
- 加密
private static String encrypt(String content) throws Exception {
String aesKey = "27d1cfcc412340d2";//秘钥
Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, skeySpec, iv);
byte[] encrypted = cipher.doFinal(content.getBytes("UTF-8"));
return Base64.getEncoder().encodeToString(encrypted);
}
- 解密
private static String decrypt(String miwen) throws Exception {
String aesKey = "27d1cfcc412340d2";//秘钥
Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
cipher.init(Cipher.DECRYPT_MODE, skeySpec, iv);
byte[] encrypted1 = Base64.getDecoder().decode(miwen);
byte[] original = cipher.doFinal(encrypted1);
return new String(original, "UTF-8");
}
本文由mdnice多平台发布
网友评论