从 MySQL 数据库存储和检索盐

Question

我有一个 PasswordEncryptionService，我在其中散列我的密码并将它们与用于散列它们的盐一起保存在我的 MySQL 数据库中。我将我的密码和盐保存为字节数组，我听说我可以将它们保存为 SQL 数据库中的 varbinary 类型。

这是我的代码：

 //this method is used to retrieve the salt when a user is logging in 
 public static byte[] getSaltMethod(String username, String password) throws SQLException, LoginSampleException {

    try {

        Connection con = Connector.connection();

        String SQL = "SELECT * from Users.Salt WHERE email = ?, password = ?";

        PreparedStatement statement = con.prepareStatement(SQL);
        statement.setString(1, username);
        statement.setString(2, password);

        ResultSet set = statement.executeQuery();

        while (set.next()) {

            // vi skal ikke have en blolb her alligevel
            byte[] salt = set.getBytes("salt");
            //release the blob and free up memory. (since JDBC 4.0)
            /* jeg er i tivil om denne skal være her*/

            return salt;

        }

    } catch (SQLException ex) {
        Conf.MYLOGGER.log(Level.SEVERE, null, ex);
        throw new LoginSampleException(ex.getSQLState());
    }
    return null;

}



//this method is used to save the user along with the salt when a user is signing up

 public static void createUser(User user) throws LoginSampleException, NoSuchAlgorithmException 
{
    try {
        PasswordEncryptionService PE = new PasswordEncryptionService();
        byte[] salt = PE.generateSalt();
        Connection con = Connector.connection();
        String SQL = "INSERT INTO Users (email, password, phone, post, adress, role, salt) VALUES (?, ?, ?, ?, ?, ?, ?)";
        PreparedStatement ps = con.prepareStatement(SQL, Statement.RETURN_GENERATED_KEYS);
        ps.setString(1, user.getEmail());
        ps.setString(2, user.getPassword());
        ps.setString(3, user.getPhonenumber());
        ps.setString(4, user.getPostalCode());
        ps.setString(5, user.getAddress());
        ps.setString(6, user.getRole());
        ps.setBytes(7, salt);
        ps.executeUpdate();
        ResultSet ids = ps.getGeneratedKeys();
        ids.next();
        int id = ids.getInt(1);
        user.setId(id);
    } catch (SQLException ex) {
        throw new LoginSampleException(ex.getMessage());
    }
}

现在我有一个单独的方法来检索盐和登录人员，我应该将盐保存在不同的 table 中，还是可以将其保存在用户对象中？我应该将其保存为 varbinary 还是仅保存为常规 varchar？

Answer 1

如果这是家庭作业，那么您可以将它们保存为 varchar 或二进制文件。老师喜欢哪个就OK

现在，为了生产，我将哈希值保存为 binary 和 varchar，我（个人）更喜欢二进制。作为二进制文件，我将它们都保存为一个（连接的）列，或两个单独的列（盐和散列）。

varchar 的好处：

• 易于调试、备份、打印和比较，以备不时之需。
• 很容易连接和分离它的部分。所有字符串函数都可用。
• 即使是最绿色的开发人员也了解如何管理（连接、子字符串等）字符串。

Benefits/Disadvantages 共 binary：

• 无需在String和byte[]之间来回编码。 Base64 或 hexa 编码需要更多编码，或使用非标准库。
• 许多开发人员不熟悉 [var]binary 或 blob 数据类型列。
• 许多 SQL 工具不能很好地显示二进制列，这使得调试变得更加困难，或者只是为了检查它是否在做正确的事情。

除此之外，我更喜欢 [var]binary，因为它 java 编码较少。