我正在使用Java创建应用程序,我在谷歌上搜索了Java密码加密,但结果太多了,让我感到不知所措。如何使用Java加密和解密密码?以及加密和解密密码的最佳实践是什么?我猜MD5不是一个好选择,因为它是一种单向哈希。我正在使用Struts2作为我的框架,想知道他们是否提供密码加密。
更新:
尝试使用JBCrypt:
String password = "MyPassword123";
String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));
System.out.println(hashed); // $2a$12$QBx3/kI1SAfwBDFOJK1xNOXK8R2yC7vt2yeIYusaqOisYbxTNFiMy
从这里下载jBCrypt-0.3,更多细节请查看README文件。
我不建议使用MD5,因为它已经被破解了。相反,您可以使用SHA512,这是一种安全的哈希方法,您可以使用MessageDigest。以下代码是我在项目中使用的,非常完美。
public String encode(String password, String saltKey)
throws NoSuchAlgorithmException, IOException {
String encodedPassword = null;
byte[] salt = base64ToByte(saltKey);
MessageDigest digest = MessageDigest.getInstance("SHA-512");
digest.reset();
digest.update(salt);
byte[] btPass = digest.digest(password.getBytes("UTF-8"));
for (int i = 0; i < ITERATION_COUNT; i++) {
digest.reset();
btPass = digest.digest(btPass);
}
encodedPassword = byteToBase64(btPass);
return encodedPassword;
}
private byte[] base64ToByte(String str) throws IOException {
BASE64Decoder decoder = new BASE64Decoder();
byte[] returnbyteArray = decoder.decodeBuffer(str);
if (log.isDebugEnabled()) {
log.debug("base64ToByte(String) - end");
}
return returnbyteArray;
}
嗯,据我所知,我们有以下一些算法来保护密码。
在这些算法中,BCrypt 和 SCrypt 是更安全的密码保护方式。
有一个非常不错的Java项目专门解决这个问题。
基本上,它提供了两种加密用户密码的方式:
- MD5
- SHA1
请查看链接: jasypt
对我而言,我认为MD5是最好的方法,而且您无需解密密码,以防用户忘记密码,可以让用户生成一个新密码。对于登录,您可以仅比较数据库中存在的哈希值和用户输入的哈希值。
始终使用单向哈希算法。
我建议使用MD5哈希。在将密码存储在数据库中时,请使用MD5哈希。这样,如果您的密码为pass,则在哈希后将存储为asjasdfklasdjf789asdfalsdfashdflasdf(32个字符)。
正如您所说,您想要解密密码。我建议不要这样做。在检查密码与数据库匹配时,您可以对密码进行哈希处理,并将该字符串与数据库中的内容进行比较。
if (DoHashMD5(myPass).equals(rs.getString(2))) {
System.out.print("You are registered user!!!");
} else {
System.out.print("Invalid user!!!");
}
这里的rs.getString(2)
将是您的查询参数。