前言
一般测试、写demo时用户注册的用户名和密码保存到数据库中都是以明文的形式保存的,其实这是不安全的。密码是需要进行加密的,比如md5或者SHA加密方式。
又因为密码明文相同时可能导致有相同的密文,为了避免密码密文一致,则又进行了
加盐验证。使得即使明文密码相同,密码的密文也不同。
一、密码工具类PasswordUtils
package com.feng.utils;
import java.util.UUID;
/**
* @ClassName: PasswordUtils
* 密码工具类
* @Author: 小冯
* @CreateDate: 2019/9/7 13:44
* @UpdateUser: 小冯
* @UpdateDate: 2019/9/7 13:44
* @Version: 0.0.1
*/
public class PasswordUtils {
/**
* 匹配密码
* @param salt 盐
* @param rawPass 明文
* @param encPass 密文
* @return
*/
public static boolean matches(String salt, String rawPass, String encPass) {
return new PasswordEncoder(salt).matches(encPass, rawPass);
}
/**
* 明文密码加密
* @param rawPass 明文
* @param salt
* @return
*/
public static String encode(String rawPass, String salt) {
return new PasswordEncoder(salt).encode(rawPass);
}
/**
* 获取加密盐
* @return
*/
public static String getSalt() {
return UUID.randomUUID().toString().replaceAll("-", "").substring(0, 20);
}
}
二、密码编码类PasswordEncoder
package com.feng.utils;
import java.security.MessageDigest;
/**
* @ClassName: PasswordEncoder
* 密码加密
* @Author: 小霍
* @CreateDate: 2019/9/7 13:45
* @UpdateUser: 小霍
* @UpdateDate: 2019/9/7 13:45
* @Version: 0.0.1
*/
public class PasswordEncoder {
private final static String[] hexDigits = { "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c", "d",
"e", "f" };
private final static String MD5 = "MD5";
private final static String SHA = "SHA";
private Object salt;
private String algorithm;
public PasswordEncoder(Object salt) {
this(salt, MD5);
}
public PasswordEncoder(Object salt, String algorithm) {
this.salt = salt;
this.algorithm = algorithm;
}
/**
* 密码加密
* @param rawPass
* @return
*/
public String encode(String rawPass) {
String result = null;
try {
MessageDigest md = MessageDigest.getInstance(algorithm);
// 加密后的字符串
result = byteArrayToHexString(md.digest(mergePasswordAndSalt(rawPass).getBytes("utf-8")));
} catch (Exception ex) {
}
return result;
}
/**
* 密码匹配验证
* @param encPass 密文
* @param rawPass 明文
* @return
*/
public boolean matches(String encPass, String rawPass) {
String pass1 = "" + encPass;
String pass2 = encode(rawPass);
return pass1.equals(pass2);
}
private String mergePasswordAndSalt(String password) {
if (password == null) {
password = "";
}
if ((salt == null) || "".equals(salt)) {
return password;
} else {
return password + "{" + salt.toString() + "}";
}
}
/**
* 转换字节数组为16进制字串
*
* @param b
* 字节数组
* @return 16进制字串
*/
private String byteArrayToHexString(byte[] b) {
StringBuffer resultSb = new StringBuffer();
for (int i = 0; i < b.length; i++) {
resultSb.append(byteToHexString(b[i]));
}
return resultSb.toString();
}
/**
* 将字节转换为16进制
* @param b
* @return
*/
private static String byteToHexString(byte b) {
int n = b;
if (n < 0)
n = 256 + n;
int d1 = n / 16;
int d2 = n % 16;
return hexDigits[d1] + hexDigits[d2];
}
public static void main(String[] args) {
}
}
三、测试类
/**
* 测试
* @param args
*/
public static void main(String[] args) {
// 获取盐
String salt = PasswordUtils.getSalt();
System.out.println("salt:"+ salt); // 8f5ca7b51f2a4e00b666
// 对密码 666666 使用 盐 加密。
salt = "8f5ca7b51f2a4e00b666";
String password = PasswordUtils.encode("666666", salt);
System.out.println(password); //57f896335fd98b87985780ef8b2ed4ee
// 再判断
boolean matches = PasswordUtils.matches(salt, "666666", password);
System.out.println(matches); // true
}
也就是说获取salt 盐,拿着盐值加密密码 666666,盐值肯定是和密码保存起来的。
密码验证时,就是拿着用户输入的密码,与盐值加密,加密后的数据与 密文进行比较
如果成功,则密码正确。
不成功,则密码不正确。
