在我们写后段的时候,经常会遇到需要使用数据库存放密码的操作。 但是对于密码等敏感字符,考虑安全性,直接原原本本的存放在数据里是绝对不安全的。 所以就需要对密码进行基于各种加密算法的加密。
#SHA-256 简单了解
#SHA-256 是什么?
所谓SHA-256其实本质是一套单向哈希函数(或者叫做不可逆散列算法)。 他可以将一个字符串通过特定的计算过程后得出一个长度为256字节的Hash码。 该字符串里面任意一个字变动(甚至是大小写)都会尝试完全不一样的两条散列码。
此外我们还需要特别记住,SHA-256本质是一套不可逆算法。 即字符串转化为散列码后,无法通过散列码将密码还原回来。
至于这套SHA-256的具体计算过程,如果有兴趣自行Google,这里主要教大家使用。 不深入介绍底层实现算法。
先将加密字段的末尾加上盐(abc123!@#ABC) 进行SHA-256加密->得到任意 256 长度的散列码。
再将得到的 256位散列码 在末尾加上我们的盐,再计算一次SHA-256的值->得到加了盐的256位散列码。
此时我们存进数据库的就是加了盐的256位散列码。
#SHA-256 用它!
#实现代码
这里用到了 Apache 工具包
import org.apache.commons.codec.binary.Hex; import java.nio.charset.StandardCharsets; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class SHA256Util {
public static final String SHA256 = "SHA-256"; // 加盐的SHA256加密 // 可能抛出 NoSuchAlgorithmException 错误,表示加密格式有误。 public static String encrypt_SHA256_Salt(String str, String salt) throws NoSuchAlgorithmException{
// 进行加盐加密后给他放回 return encrypt_SHA256(encrypt_SHA256(str + salt) + salt); } // 普通的SHA256加密 private static String encrypt_SHA256(String str) throws NoSuchAlgorithmException{
// 获取加密格式 MessageDigest instance = MessageDigest.getInstance(SHA256); // 进行加密 instance.update(var.getBytes(StandardCharsets.UTF_8)); // 通过Hex的encodeHex函数,将每个byte都拆成了两个十六进制的数,并组合 return String.valueOf(Hex.encodeHex(instance.digest())); } } #使用代码 import org.yyc.util.SHA256Util; import java.security.NoSuchAlgorithmException; public class UserServiceImpl{
public final String SALT = "ABC"; public String register(String email, String passwd) {
try {
String encryptedPasswd = SHA256Util.encrypt_SHA256_Salt(passwd, SALT)); } catch (NoSuchAlgorithmException exception) {
return "Failed to register."; } // 将密码存进数据库 return "Register successful."; } public String login(String email, String passwd) {
String userPasswd; // 此处省略从数据库获取到用户密码的部分 if (userPasswd.equals(SHA256Util.encrypt_SHA256_Salt(passwd, SALT))) {
return "Login successful."; } else {
return "The password is incorrect."; } } } 