Java中使用盐值(Salt)提高信息安全

已于 2024-12-19 16:57:58 修改
阅读量983 收藏 14
点赞数 24
分类专栏: 架构Java单体项目 文章标签: 哈希算法 java spring intellij-idea spring boot log4j mybatis
于 2024-12-19 16:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_78196323/article/details/144586967
版权

引言

        上篇文章Java中使用sha256算法对数据进行不可逆转换入库使用了sha256算法对数据进行不可逆转换入库,虽然sha256已经很安全了,但随着技术的发展,破解数据的方法也变得多样化,其中彩虹表(加密散列函数逆运算的预先计算好的表)攻击就是为了破解散列值而准备的,为了保护敏感信息,提高信息安全,就诞生了盐值的概念,本文将深入探讨Java中使用盐值Salt提高信息安全,包括其概念、作用和实践应用

盐值的概念

        盐值(Salt)是一个随机生成的字符串序列,与用户密码结合在一起,然后进行哈希处理。这样能保证即使密码相同,经过哈希处理后生成的哈希值也会因盐值的不同而不同,这样可以有效抵御暴力破解和彩虹表(加密散列函数逆运算的预先计算好的表)攻击

盐值的作用

  1. 增加密码破解难度:因其随机性从而增加哈希值的复杂性和多样性
  2. 防止彩虹表(加密散列函数逆运算的预先计算好的表)攻击:由于盐值的存在,无法通过彩虹表找到密码对应的哈希值进行攻击
  3. 提高安全性:盐值会增加密码的复杂性

实践应用

封装盐值(Salt)工具类

在工具包中创建盐值(Salt)工具类

编写盐值(Salt)工具类

/**
 * 盐值工具类
 * @author muze
 */
public class SaltUtil {
    /**
     * 生成盐值
     * @return 盐值
     */
    public static String generateSalt() {
        // 声明并初始化长度为16的字节数组,用于存储随机生成的盐值
        byte[] saltBytes = new byte[16];
        // 创建SecureRandom实例,用于生成强随机数
        SecureRandom secureRandom = new SecureRandom();
        // 将随机生成的盐值填充到字节数组
        secureRandom.nextBytes(saltBytes);
        // 将字节数组编码为Base64格式的字符串后返回
        return SaBase64Util.encodeBytesToString(saltBytes);
    }
}

修改用户表

        因为我们要将盐值存储起来,所以需要在用户表中加字段,注意,这里会使用到SQL的DML语言,而不是重建表或在可视化界面进行操作,可以参考我的另一篇文章SQL中ALTER用法总结

ALTER TABLE t_user ADD COLUMN salt VARCHAR(30) COLLATE utf8mb4_0900_bin NOT NULL COMMENT '盐值';

        运行结果

修改用户实体

/**
 * 用户实体
 * @author muze
 */
@Data
@TableName("t_user")
public class User implements Serializable {
    @Serial
    private static final long serialVersionUID = 684552117916625567L;

    /**
     * 主键
     */
    @TableId(type = IdType.AUTO)
    private Long id;

    /**
     * 账号
     */
    private String username;

    /**
     * 密码
     */
    private String password;

    //************************  新增盐值字段  ************************//
    /**
     * 盐值
     */
    private String salt;
}

修改用户注册和登录接口实现

/**
 * 用户业务实现层
 * @author muze
 */
//************************  新增日志打印  ************************//
@Slf4j
@Service
public class UserServiceImpl implements IUserService {
    /**
     * 注入用户数据层
     */
    @Autowired
    private UserMapper userMapper;
    @Override
    public String login(UserLoginDTO userLoginDTO) {
        // 取出用户名和密码
        String username = userLoginDTO.getUsername();
        String password = userLoginDTO.getPassword();
        // 构建查询条件
        LambdaQueryWrapper<User> userLambdaQueryWrapper = new LambdaQueryWrapper<User>().eq(User::getUsername, username);
        // 查询用户
        User user = userMapper.selectOne(userLambdaQueryWrapper);
        //************************  修改用户校验逻辑  ************************//
        if (user == null) throw new CustomException("用户名或密码错误");
        //************************  新增密码解密  ************************//
        String decryptPassword;
        try {
            decryptPassword = RSAUtil.decryptByPrivateKey(password);
        } catch (Exception e) {
            //************************  打印异常信息  ************************//
            log.error("使用私钥解密密码时异常:", e);
            //************************  抛出自定义异常  ************************//
            throw new CustomException("用户名或密码错误");
        }
        //************************  新增获取盐值并融合密码后进行哈希处理  ************************//
        String salt = user.getSalt();
        String saltPassword = salt + decryptPassword;
        String sha256Password = Sha256Util.calculateSha256(saltPassword);
        // 如果用户为空或者解密后的输入密码与用户密码不匹配则返回:用户名或密码错误
        if (!sha256Password.equals(user.getPassword())) throw new CustomException("用户名或密码错误");
        // 使用SaToken的工具类StpUtil调用登录方法login,入参:用户id
        StpUtil.login(user.getId());
        // 返回:登录成功
        return "登录成功";
    }

    /**
     * 注册
     * @param userRegisterDTO 用户注册请求实体
     * @return 注册结果
     */
    @Override
    public String register(UserRegisterDTO userRegisterDTO) {
        // 提取用户名和密码
        String username = userRegisterDTO.getUsername();
        String password = userRegisterDTO.getPassword();
        // 构建查询条件
        LambdaQueryWrapper<User> userLambdaQueryWrapper = new LambdaQueryWrapper<User>().eq(User::getUsername, username);
        // 查询用户
        User dbUser = userMapper.selectOne(userLambdaQueryWrapper);
        // 如果用户不为空,则抛出自定义异常"该用户已注册,请直接登录"
        if (dbUser != null) throw new CustomException("该用户已注册,请直接登录");
        //************************  新增获取盐值并融合密码后进行哈希处理  ************************//
        String salt = SaltUtil.generateSalt();
        String saltPassword = salt + password;
        // 计算密码sha256哈希值
        String sha256Password = Sha256Util.calculateSha256(saltPassword);
        // 构建并入库用户信息
        User user = new User();
        user.setUsername(username);
        user.setPassword(sha256Password);
        //************************  新增盐值入库  ************************//
        user.setSalt(salt);
        userMapper.insert(user);
        // 返回:注册成功
        return "注册成功";
    }
}

测试

启动项目,使用接口调试工具调用注册接口创建账号后再调用登录接口进行验证

注册

数据库

登录 

        到这里我们就一起完成了在Java中使用盐值(Salt)结合sha256算法对数据进行不可逆转换入库,从而提高信息安全,相信你已经掌握了,赶快去试试吧,希望这篇文章能对你有所帮助!

彩蛋:到这里我们其实已经完成了一个基本的Java单体项目架构了,细心的你肯定发现了,还差角色和权限,当我们解决了角色和权限的问题后就架构好了一个简单的Java项目了,剩下都就是根据业务去实现功能了,先冷静,不慌庆祝,敬请期待!

Java:实现Salt算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
01-11 744
Java:实现Salt算法(附完整源码)
Java实现登录密码不可逆加密(MD5+随机)
m0_38138879的博客
05-21 2366
工具类使用背景 当前是信息安全时代,对于用户登录密码进行不可逆的MD5加密是必不可少的,并增加一定的字节随机防止暴力破解。 第三方依赖 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.0.7</version> </dep
Java的MD5加密,Des加密解密和base64加密解密使用方法
wh456413的博客
05-11 1966
java支持md5加密和des加密。 做项目时,某些模块添加加密功能可以提高用户个人信息安全性,防止信息泄露,其中des支持加密解密,MD5目前只支持加密(多用于用户登录密码验证,所以无需解密展示)。 一、MD5加密 1.在pom文件中导入相关jar包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId>
Java使用加密
程序员大腾的博客
07-17 1016
使用加密的方式,泄露加密后的密码也是大不了的事,根本破解不了,即使是123456也展现为 无数种字符串形式。
Java中的加加密:提升密码存储安全性的关键实践
最新发布
qq_56438516的博客
03-12 1301
加密是密码安全存储的基石,但单一措施不足以应对所有威胁。通过为每个密码生成唯一的随机,即使两个用户使用相同密码,其哈希也会不同,从而彻底破坏彩虹表的有效性。单纯的哈希算法(如MD5、SHA-1)虽然可以隐藏原始密码,但面对彩虹表攻击和暴力破解时仍存在风险。通过在哈希过程中引入随机数据(称为“”),显著提升了密码存储的安全性。若不同用户使用相同密码且未加,其哈希会完全一致,攻击者可轻易识别重复密码。推荐使用SHA-256、SHA-512或更安全的算法(如bcrypt、PBKDF2)。
messagedigest 图片加密_MessageDigest 加密和解密2
weixin_39562579的博客
12-22 352
-------------------解密---------------------------package com.drawthink.platform.util;import java.io.UnsupportedEncodingException;import java.security.MessageDigest;import java.security.NoSuchAlgorithmE...
java 生成salt
weixin_40969933的博客
07-16 174
Java 生成 Salt 的指南 作为一名刚入行的开发者,你可能对“salt”这个词感到陌生。在密码学中,salt 是一种随机数据,用于与密码一起哈希,以防止彩虹表攻击,增加密码的安全性。本文将指导你如何在 Java 中生成 salt,并使用它来增强密码的安全性。 步骤流程 首先,让我们通过一个表格来概述生成 salt 的...
java shiro加密_javaspring-shiro实现密码的MD5加密
weixin_33474071的博客
02-27 542
看了网上很多教程,都提到有配置spring shiro的密码加密方式,甚至给出了自定义的Class来实现。却很少有通过配置来解决的。密码的加密方式应该是非常通用的,也可以算是基础吧。按理说spring shiro不可能没有实现,让用户自己去实现吧。通过读源码看各种关系,摸索出shiro的MD5加密方式,分享一下 (shiro的maven仓库中的source从来都是个空文件,github上的...
(salt)在Hash函数中的作用与安全性
# 1. 引言 ### 1.1 介绍Hash函数的概念及其应用领域 在计算机科学中,Hash函数是一种将任意长度的数据映射到固定长度的函数。它具有快速计算和检索数据的特点,因此被广泛应用于各个领域...然而,仅仅使用Hash函数
使用密码和salt联合密码加密实现登录注册功能
10-04
本文将深入探讨如何使用密码和salt结合MD5加密来实现这一功能,主要针对Java编程语言,同时也会涉及到数据库和用户界面的设计。 首先,我们要理解什么是salt)。在密码学中,salt是一种随机数据,通常与...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密,适合大量数据的快速处理,但密钥管理和分发是个挑战。非对称加密,如RSA和DSA,则使用公钥加密、私钥解密,提供更好的安全性,...
SaltUtils.java
09-03
SaltUtils,生成随机,生成短信验证码,import java.util.Random。 SaltUtils的工具类,可以直接使用,但建议使用前检查一下!
加密解密秘钥sha256带
05-16
sha256不含 sha256含 sha256含的校验 生成秘钥 加密AES128 解密AES128
什么是md5
sanmi8276的博客
12-03 3456
简单说就是为了使相同的密码拥有不同的hash的bai一种手段 就是化,就是在密码hash过程中添加的额外的随机SALT属于随机。用户注册时,系统用来和用户密码进行组合而生成的随机数,称作salt,通称为加。 1、背景:系统通常把用户的密码如MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Sal
JAVA密码加加密处理
bobo_supper的博客
10-30 747
【代码】密码加加密处理。
java 密码的加密
qq_41972358的博客
07-07 1062
java 密码的加密
JAVA生成salt工具类(加密技术)
qq_45488981的博客
07-12 2562
package com.baizhi.shiro.Utils; import java.util.Random; public class SaltUtils { /** * 生成salt的静态方法 * @param n * @return */ public static String getSalt(int n){ char[] chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmno
JAVA加密方法
℡メ㏑╭ァ小凯
03-23 3296
调用效果:密码:123456,abcd(这是动态的,一个用户一个码,越长越好),得到:1G00500_000000abcd23456c000000abcd 最后给他加上md5 调用后得到:$2a$10$PZTMPfyTkkzZmIQXmhnv2uvOt9ecJxP4oEjkOJYKYaEMr.eewOGWa 就算密文被破解了得到的密码也是1G00500_000000abcd23456c000000abcd,完美防止了查看原密码123456 package com.java.core.web..
java 加解密
weixin_37007333的博客
07-16 200
Java加解密入门指南 作为一名开发者,我们经常需要处理数据的安全性问题,其中一种常见的方法是使用加解密。加解密不仅可以增加密码的复杂度,还可以防止彩虹表攻击。接下来,我将通过这篇文章,带领你一步步了解如何在Java中实现加解密。 加解密流程 首先,我们通过下面的流程图来了解加解密的基本流程: #r...
Java环境下实现PBKDF2密码哈希库
通过PBKDF2算法生成的哈希可以存储在数据库中,当下次用户登录时,可以使用同样的对输入的密码再次进行哈希处理,然后与存储的哈希进行比对,如果相同,则验证通过。 ### 安全特性 - **salt)**:为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值