问题
一般对密码都不会是明文存储,而是对密码进行MD5处理,增强反向解密难度。
但这样还是能可以找出破绽,因为MD5加密相同的数据,得到的密文是一样的。
如果用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,就会知道别人用的和自己就是同一个密码。
解决
加盐
对于这个问题其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。
具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。
当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。
代码示例
// 对密码进行加盐后加密,加密后再通过Hibernate往数据库里存
String changedPswd = DigestUtils.md5Hex(name + pswd);
就是这样简单,上面代码中盐就是用户名,可以的话还可以用用户注册时的邮件,注册时间等非空信息(如果是空信息这个加盐处理会失效)。
下面是数据库中两个用户的记录,他们的实际登录密码都是123456,但光看用户记录是完全看不出来的。
这下别有用心的人打开数据库看到的密码都完全不一样,他以前的手段就失效了。
