如何存儲數據庫中加密的密碼？

Question

我試圖將密碼存儲到數據庫與JSP和Servlet的幫助下加密形式。我該怎麼做？

Answer 1

嘗試這樣的事情對數據進行加密。

MessageDigest md = MessageDigest.getInstance("MD5"); 


...... 


synchronized (md) { 

md.reset(); 
byte[] hash = md.digest(plainTextPassword.getBytes("CP1252")); 

StringBuffer sb = new StringBuffer(); 
for (int i = 0; i < hash.length; ++i) { 
sb.append(Integer.toHexString((hash[i] & 0xFF) | 0x100).toUpperCase().substring(1, 3)); 
} 

String password = sb.toString(); 
} 

Answer 2

你也可以使用類似下面的東西。下面是一個加密方法，它接受一個字符串輸入並返回並加密字符串。您可以將密碼傳遞給此方法。

public static String crypt(String str) { 
    if (str == null || str.length() == 0) { 
     throw new IllegalArgumentException(
       "String to encrypt cannot be null or zero length"); 
    } 

    StringBuffer hexString = new StringBuffer(); 

    try { 
     MessageDigest md = MessageDigest.getInstance("MD5"); 
     md.update(str.getBytes()); 
     byte[] hash = md.digest(); 

     for (int i = 0; i < hash.length; i++) { 
      if ((0xff & hash[i]) < 0x10) { 
       hexString.append("0" 
         + Integer.toHexString((0xFF & hash[i]))); 
      } else { 
       hexString.append(Integer.toHexString(0xFF & hash[i])); 
      } 
     } 
    } catch (NoSuchAlgorithmException e) { 

    } 

    return hexString.toString(); 
} 

Answer 3

自寫算法是一種安全風險，並且很難維護。
MD5是not secure。

使用bcrypt算法，通過jBcrypt（開放源代碼）提供：

// Hash a password 
String hashed = BCrypt.hashpw(password, BCrypt.gensalt()); 

// Check that an unencrypted password matches or not 
if (BCrypt.checkpw(candidate, hashed)) 
    System.out.println("It matches"); 
else 
    System.out.println("It does not match"); 

如果你使用Maven，你可以在你的pom.xml 插入下面的依賴使該庫（如果新版本可以請讓我知道）：

<dependency> 
    <groupId>de.svenkubiak</groupId> 
    <artifactId>jBCrypt</artifactId> 
    <version>0.4.1</version> 
</dependency>