密码加盐保存

编程语言 2018-06-09 00:07:18 阅读次数: 2

背景:


现在很多公司使用MD5存放用户密码,但是当摘要过的MD5值泄漏出去后还是有很大可能通过别的方法获得原文。\


通过以下网站很容易获得原文
http://www.cmd5.com/
http://pmd5.com/

" 123456 ":e10adc3949ba59abbe56e057f20f883e
"888888":21218cca77804d2ba1922c33e0151105




"123456"的MD5值任何时候生成的都是"e10adc3949ba59abbe56e057f20f883e"




加盐原理:

给原文加入随机数生成新的MD5值。


同样的"123456" 每次MD5都是不同值。



实际操作:


本程序中任意一次加密“123456” 获得的是:d32007911f3745715fc3534e68535884f901e6cd93b1d962

通过网站查询原文不成功:




源代码:

MD5Util

[html]  view plain  copy
  1. package com.ding.util.md5;  
  2.   
  3. import java.util.Random;  
  4. import org.apache.commons.codec.binary.Hex;  
  5. import java.security.NoSuchAlgorithmException;  
  6. import java.security.MessageDigest;  
  7.   
  8. /**  
  9.  * MD5工具类,加盐  
  10.  * @author daniel  
  11.  * @email [email protected]  
  12.  * @time 2016-6-11 下午7:57:36  
  13.  */  
  14. public class MD5Util {  
  15.   
  16.     /**  
  17.      * 普通MD5  
  18.      * @author daniel  
  19.      * @time 2016-6-11 下午8:00:28  
  20.      * @param inStr  
  21.      * @return  
  22.      */  
  23.     public static String MD5(String input) {  
  24.         MessageDigest md5 = null;  
  25.         try {  
  26.             md5 = MessageDigest.getInstance("MD5");  
  27.         } catch (NoSuchAlgorithmException e) {  
  28.             return "check jdk";  
  29.         } catch (Exception e) {  
  30.             e.printStackTrace();  
  31.             return "";  
  32.         }  
  33.         char[] charArray = input.toCharArray();  
  34.         byte[] byteArray = new byte[charArray.length];  
  35.   
  36.         for (int i = 0; i < charArray.length; i++)  
  37.             byteArray[i] = (byte) charArray[i];  
  38.         byte[] md5Bytes = md5.digest(byteArray);  
  39.         StringBuffer hexValue = new StringBuffer();  
  40.         for (int i = 0; i < md5Bytes.length; i++) {  
  41.             int val = ((int) md5Bytes[i]) & 0xff;  
  42.             if (val < 16)  
  43.                 hexValue.append("0");  
  44.             hexValue.append(Integer.toHexString(val));  
  45.         }  
  46.         return hexValue.toString();  
  47.   
  48.     }  
  49.    
  50.        
  51.        
  52.        
  53.     /**  
  54.      * 加盐MD5  
  55.      * @author daniel  
  56.      * @time 2016-6-11 下午8:45:04  
  57.      * @param password  
  58.      * @return  
  59.      */  
  60.         public static String generate(String password) {  
  61.             Random r = new Random();  
  62.             StringBuilder sb = new StringBuilder(16);  
  63.             sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));  
  64.             int len = sb.length();  
  65.             if (len < 16) {  
  66.                 for (int i = 0; i < 16 - len; i++) {  
  67.                     sb.append("0");  
  68.                 }  
  69.             }  
  70.             String salt = sb.toString();  
  71.             password = md5Hex(password + salt);  
  72.             char[] cs = new char[48];  
  73.             for (int i = 0; i < 48; i += 3) {  
  74.                 cs[i] = password.charAt(i / 3 * 2);  
  75.                 char c = salt.charAt(i / 3);  
  76.                 cs[i + 1] = c;  
  77.                 cs[i + 2] = password.charAt(i / 3 * 2 + 1);  
  78.             }  
  79.             return new String(cs);  
  80.         }  
  81.   
  82.         /**  
  83.          * 校验加盐后是否和原文一致  
  84.          * @author daniel  
  85.          * @time 2016-6-11 下午8:45:39  
  86.          * @param password  
  87.          * @param md5  
  88.          * @return  
  89.          */  
  90.         public static boolean verify(String password, String md5) {  
  91.             char[] cs1 = new char[32];  
  92.             char[] cs2 = new char[16];  
  93.             for (int i = 0; i < 48; i += 3) {  
  94.                 cs1[i / 3 * 2] = md5.charAt(i);  
  95.                 cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);  
  96.                 cs2[i / 3] = md5.charAt(i + 1);  
  97.             }  
  98.             String salt = new String(cs2);  
  99.             return md5Hex(password + salt).equals(new String(cs1));  
  100.         }  
  101.   
  102.         /**  
  103.          * 获取十六进制字符串形式的MD5摘要  
  104.          */  
  105.         private static String md5Hex(String src) {  
  106.             try {  
  107.                 MessageDigest md5 = MessageDigest.getInstance("MD5");  
  108.                 byte[] bs = md5.digest(src.getBytes());  
  109.                 return new String(new Hex().encode(bs));  
  110.             } catch (Exception e) {  
  111.                 return null;  
  112.             }  
  113.         }  
  114.   
  115.         
  116.        
  117.        
  118. }  


测试类:

[html]  view plain  copy
  1. package com.ding.util.md5;  
  2.   
  3. public class Zmain {  
  4.   
  5.     // 测试主函数  
  6.     public static void main(String args[]) {  
  7.         // 原文  
  8.         String plaintext = "DingSai";  
  9.     //  plaintext = "123456";  
  10.         System.out.println("原始:" + plaintext);  
  11.         System.out.println("普通MD5后:" + MD5Util.MD5(plaintext));  
  12.   
  13.         // 获取加盐后的MD5值  
  14.         String ciphertext = MD5Util.generate(plaintext);  
  15.         System.out.println("加盐后MD5:" + ciphertext);  
  16.         System.out.println("是否是同一字符串:" + MD5Util.verify(plaintext, ciphertext));  
  17.         /**  
  18.          * 其中某次DingSai字符串的MD5值  
  19.          */  
  20.         String[] tempSalt = { "c4d980d6905a646d27c0c437b1f046d4207aa2396df6af86", "66db82d9da2e35c95416471a147d12e46925d38e1185c043", "61a718e4c15d914504a41d95230087a51816632183732b5a" };  
  21.   
  22.         for (String temp : tempSalt) {  
  23.             System.out.println("是否是同一字符串:" + MD5Util.verify(plaintext, temp));  
  24.         }  
  25.           
  26.           
  27.           
  28.           
  29.           
  30.           
  31.     }  
  32. }  


输出结果:




讲解:

[html]  view plain  copy
  1. String[] tempSalt = { "c4d980d6905a646d27c0c437b1f046d4207aa2396df6af86", "66db82d9da2e35c95416471a147d12e46925d38e1185c043", "61a718e4c15d914504a41d95230087a51816632183732b5a" };  
这些值都是多次加盐md5以后获得的值。

通过verify和原文校验全部一致。


通过这种方式,可以加大数据库泄露密码以后被破译的风险。



源码:

https://github.com/dingsai88/StudyTest/tree/master/src/com/ding/util/md5




依赖的JAR包

https://github.com/dingsai88/StudyTest/blob/master/lib/commons-codec-1.10.jar

猜你喜欢

转载自blog.csdn.net/changudeng1992/article/details/80608529
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
static方法和非static方法的区别(java)
如何查找计算机专业paper
java.lang.ClassFormatError: Incompatible magic value 0 in class file com/sitecha
跳跃游戏II
stm32_之【建立工程】
TeaWeb v0.0.9 发布,统计底层优化、主机监控功能改进
事件分发 -----控制字体大小
JavaScript DOM练习(动态表格添加) December 25,2019
JSF Scope & CDI
实现从零搭建一个登录注册页面(附源代码)
每日归档
更多
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022