使用 Jasypt 加密和解密密码
Encrypt & Decrypt password using Jasypt
它用于桌面应用程序,所以我只需要基本的登录安全性,虽然我使用一个函数来加密密码,但我使用另一个函数从 UI 传递密码并将哈希保存到数据库和 returns true 或 false 取决于是否匹配。
我尝试使用jasypt官方网站的pooled版本,我可以加密但我不知道如何解密。
//Function to encrypt password
public static String cifrarClave(String clave) {
PooledStringDigester digester = new PooledStringDigester();
digester.setPoolSize(4);
digester.setAlgorithm("SHA-1");
digester.setIterations(50000);
digester.setSaltSizeBytes(32);
//String return is hash that I save into db
return digester.digest(clave);
}
//Function to decrypt password
//clave is old plain that user enter from UI and I want to compare from hash save it into db
public static boolean validarClave(String clave, String hash) {
PooledStringDigester digester = new PooledStringDigester();
digester.setPoolSize(4);
digester.setAlgorithm("SHA-1");
digester.setIterations(50000);
String digest = digester.digest(clave);
//Always fails at that point, I get different hash from compare clave
return digester.matches(digest, hash);
}
我是安全方面的新手,所以我对安全了解不多,我接受其他建议或替代方案,我只想要一个工作示例。
当您使用两个散列摘要而不是明文消息和先前计算的摘要调用它时,您使用了 jasypt 的 matches(message, digest) 函数不正确。
在您的 validarClave() 中,您首先不必要地根据用户的明文密码 (clave) 计算摘要,然后将其传递给匹配器:
String digest = digester.digest(clave);
//Always fails at that point, I get different hash from compare clave
return digester.matches(digest, hash);
如果您简单地将明文密码传递给匹配器,您的方法将正常工作,如下所示:
digester.matches(clave, hash);
更多信息可在 jasypt 的javadocs and code examples。
它用于桌面应用程序,所以我只需要基本的登录安全性,虽然我使用一个函数来加密密码,但我使用另一个函数从 UI 传递密码并将哈希保存到数据库和 returns true 或 false 取决于是否匹配。
我尝试使用jasypt官方网站的pooled版本,我可以加密但我不知道如何解密。
//Function to encrypt password
public static String cifrarClave(String clave) {
PooledStringDigester digester = new PooledStringDigester();
digester.setPoolSize(4);
digester.setAlgorithm("SHA-1");
digester.setIterations(50000);
digester.setSaltSizeBytes(32);
//String return is hash that I save into db
return digester.digest(clave);
}
//Function to decrypt password
//clave is old plain that user enter from UI and I want to compare from hash save it into db
public static boolean validarClave(String clave, String hash) {
PooledStringDigester digester = new PooledStringDigester();
digester.setPoolSize(4);
digester.setAlgorithm("SHA-1");
digester.setIterations(50000);
String digest = digester.digest(clave);
//Always fails at that point, I get different hash from compare clave
return digester.matches(digest, hash);
}
我是安全方面的新手,所以我对安全了解不多,我接受其他建议或替代方案,我只想要一个工作示例。
当您使用两个散列摘要而不是明文消息和先前计算的摘要调用它时,您使用了 jasypt 的 matches(message, digest) 函数不正确。
在您的 validarClave() 中,您首先不必要地根据用户的明文密码 (clave) 计算摘要,然后将其传递给匹配器:
String digest = digester.digest(clave);
//Always fails at that point, I get different hash from compare clave
return digester.matches(digest, hash);
如果您简单地将明文密码传递给匹配器,您的方法将正常工作,如下所示:
digester.matches(clave, hash);
更多信息可在 jasypt 的javadocs and code examples。