如何检查加盐和散列密码的匹配
How to check match for salted and hashed password
我正在研究密码安全和用户登录,更具体地说,是在数据库中存储和匹配加盐密码哈希。我了解加盐和散列的基础知识,但我不明白当盐是在每次散列之前随机生成时,我应该如何在登录尝试时检查存储的散列值?
public static void test(String password) throws NoSuchAlgorithmException, InvalidKeySpecException {
int iterations = 65536;
char[] passChar = password.toCharArray();
SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
byte[] salt = new byte[16];
random.nextBytes(salt);
PBEKeySpec spec = new PBEKeySpec(passChar, salt, iterations, 512);
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
byte[] hash = factory.generateSecret(spec).getEncoded();
System.out.println(iterations + ":\n" + toHex(salt) + ":\n" + toHex(hash));
}
密码的加盐值应该与散列一起存储。有时这是作为散列的一部分完成的(例如,散列的前 x 个字符是盐),有时是分开的(例如另一列)。
检查密码时,不要生成新的随机盐,而应使用之前生成并存储的随机盐。
因此您使用用户提供的密码和存储的盐创建了另一个散列,然后检查它是否与存储的散列相匹配。
大多数 passwordEncoder 都提供了一种方法来为您执行此操作,例如,查看 this article that explains how to use BCrypt Password Encoder.
我正在研究密码安全和用户登录,更具体地说,是在数据库中存储和匹配加盐密码哈希。我了解加盐和散列的基础知识,但我不明白当盐是在每次散列之前随机生成时,我应该如何在登录尝试时检查存储的散列值?
public static void test(String password) throws NoSuchAlgorithmException, InvalidKeySpecException {
int iterations = 65536;
char[] passChar = password.toCharArray();
SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
byte[] salt = new byte[16];
random.nextBytes(salt);
PBEKeySpec spec = new PBEKeySpec(passChar, salt, iterations, 512);
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
byte[] hash = factory.generateSecret(spec).getEncoded();
System.out.println(iterations + ":\n" + toHex(salt) + ":\n" + toHex(hash));
}
密码的加盐值应该与散列一起存储。有时这是作为散列的一部分完成的(例如,散列的前 x 个字符是盐),有时是分开的(例如另一列)。
检查密码时,不要生成新的随机盐,而应使用之前生成并存储的随机盐。
因此您使用用户提供的密码和存储的盐创建了另一个散列,然后检查它是否与存储的散列相匹配。
大多数 passwordEncoder 都提供了一种方法来为您执行此操作,例如,查看 this article that explains how to use BCrypt Password Encoder.