用户密码安全处理，主要是对密码生成摘要，将摘要内容存储到数据库中。一般采用MD5或者SHA生成摘要，这种方式具有方便、快速而且几乎不可还原性。

但是对相同数据返回的摘要信息永远是一样的。如果某人有DB的权限，只要查找摘要跟已知密码摘要相同的用户，就可以破解用户的密码，这对一个项目来说十分危险。

通过加盐技术，可以避免这种问题。有两种加盐方式：

1、通过用户名+用户密码生成加密摘要，因为用户名不会重复，所以生成的摘要也不会相同，用户名相当于盐。

2、随机生成固定长度的字符串，称之为盐，存储到数据库用户表的字段中，通过盐+密码生成加密摘要，这样数据库中摘要也不会相同。

使用MessageDigest生成SHA摘要例子：

 /**
     * 生成盐
     * @return
     */
    public static byte[] createSalt(){
        byte[] salt = new byte[16];
        try {
            SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
            random.nextBytes(salt);
            return salt;
        } catch (NoSuchAlgorithmException e) {
            return null;
        }
    }

    /**
     * 生成摘要
     * @param password
     * @param salt
     * @return
     */
    public static byte[] digest(String password, byte[] salt){

        try {
            MessageDigest msgDigest = MessageDigest.getInstance("SHA");
            if (salt != null && salt.length > 0){
                msgDigest.update(salt);
            }

            byte[] digest = msgDigest.digest(password.getBytes());
            return digest;
        } catch (NoSuchAlgorithmException e) {
            return null;
        }
    }

    public static String createCredential(String password){
        return digest(password,createSalt()).toString();
    }

以上是《java用户密码摘要加盐的两种方式》文章的全部内容，感谢您的支持！

以上就是《java用户密码摘要加盐的两种方式》文章的全部内容了！