亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

SpringBoot實(shí)現(xiàn)密碼安全存儲(chǔ)的五種方式小結(jié)

 更新時(shí)間:2025年03月31日 09:34:30   作者:風(fēng)象南  
項(xiàng)目開發(fā)中,密碼安全存儲(chǔ)是非常關(guān)鍵的一環(huán),作為開發(fā)者,我們需要確保用戶的密碼在存儲(chǔ)時(shí)被安全地加密,避免因數(shù)據(jù)泄露而造成嚴(yán)重后果,所以本文給大家介紹了SpringBoot實(shí)現(xiàn)密碼安全存儲(chǔ)的5種方式,需要的朋友可以參考下

為什么不能明文存儲(chǔ)密碼?

首先,我們需要明確一點(diǎn):密碼永遠(yuǎn)不能以明文形式存儲(chǔ)在數(shù)據(jù)庫中。

原因如下:

  • 數(shù)據(jù)泄露風(fēng)險(xiǎn):如果數(shù)據(jù)庫被攻擊,所有用戶的密碼將直接暴露。
  • 用戶隱私保護(hù):許多用戶可能在多個(gè)平臺(tái)使用相同的密碼,明文存儲(chǔ)會(huì)增加其他賬戶被攻破的風(fēng)險(xiǎn)。
  • 法律與合規(guī)要求:許多安全標(biāo)準(zhǔn)(如 GDPR、OWASP 等)都明確禁止明文存儲(chǔ)密碼。

因此,密碼在存儲(chǔ)前必須進(jìn)行加密或哈希處理,在 Spring Boot 中,以下是幾種常見的密碼安全存儲(chǔ)方式。

1. 使用 BCrypt 進(jìn)行哈希

什么是 BCrypt?

BCrypt 是一種基于 Blowfish 加密算法的哈希函數(shù),專為密碼存儲(chǔ)設(shè)計(jì),具有以下特點(diǎn):

  • 內(nèi)置加鹽機(jī)制,避免彩虹表攻擊。
  • 支持設(shè)置計(jì)算復(fù)雜度,可增強(qiáng)哈希強(qiáng)度。
  • 哈希結(jié)果固定為 60 個(gè)字符,方便存儲(chǔ)。

如何使用

  • 引入依賴:如果未使用 Spring Security,需要單獨(dú)引入 spring-security-crypto
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-crypto</artifactId>
</dependency>
  • 密碼加密與驗(yàn)證:使用 BCryptPasswordEncoder 對密碼進(jìn)行加密與驗(yàn)證:
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class PasswordUtils {
    private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

    // 加密密碼
    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }

    // 驗(yàn)證密碼
    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}
  • 使用示例
public static void main(String[] args) {
    String rawPassword = "mypassword";
    String encodedPassword = PasswordUtils.encode(rawPassword);

    System.out.println("加密后的密碼:" + encodedPassword);

    boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
    System.out.println("密碼匹配結(jié)果:" + isMatch);
}

優(yōu)缺點(diǎn)

  • 優(yōu)點(diǎn)

    • 安全性高,內(nèi)置加鹽機(jī)制。
    • 使用簡單,Spring Security 原生支持。

  • 缺點(diǎn)

    • 相較于其他哈希算法,性能略低。

2. 使用 PBKDF2 進(jìn)行哈希

什么是 PBKDF2?

PBKDF2(Password-Based Key Derivation Function 2)是一種基于密碼的密鑰派生函數(shù),支持多次迭代計(jì)算,進(jìn)一步增強(qiáng)安全性。

如何使用

  • 引入依賴:如果未使用 Spring Security,需要單獨(dú)引入 spring-security-crypto
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-crypto</artifactId>
</dependency>
  • 實(shí)現(xiàn)密碼加密與驗(yàn)證
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;

public class PasswordUtils {
    private static final Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();

    // 加密密碼
    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }

    // 驗(yàn)證密碼
    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}
  • 使用示例
public static void main(String[] args) {
    String rawPassword = "mypassword";
    String encodedPassword = PasswordUtils.encode(rawPassword);

    System.out.println("加密后的密碼:" + encodedPassword);

    boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
    System.out.println("密碼匹配結(jié)果:" + isMatch);
}

優(yōu)缺點(diǎn)

  • 優(yōu)點(diǎn)

    • 安全性高,可調(diào)節(jié)迭代次數(shù)。
    • 廣泛支持,兼容性好。

  • 缺點(diǎn)

    • 相較 BCrypt,使用稍顯復(fù)雜。

3. 使用 Argon2 進(jìn)行哈希

什么是 Argon2?

Argon2 是一種密碼哈希算法,2015 年獲得密碼哈希競賽(Password Hashing Competition)冠軍。它目前被認(rèn)為是最安全的密碼哈希算法之一。

如何使用

  • 引入依賴:如果未使用 Spring Security,需要引入 spring-security-crypto
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-crypto</artifactId>
</dependency>
  • 實(shí)現(xiàn)密碼加密與驗(yàn)證
import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;

public class PasswordUtils {
    private static final Argon2PasswordEncoder encoder = new Argon2PasswordEncoder();

    // 加密密碼
    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }

    // 驗(yàn)證密碼
    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}
  • 使用示例
public static void main(String[] args) {
    String rawPassword = "mypassword";
    String encodedPassword = PasswordUtils.encode(rawPassword);

    System.out.println("加密后的密碼:" + encodedPassword);

    boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
    System.out.println("密碼匹配結(jié)果:" + isMatch);
}

優(yōu)缺點(diǎn)

  • 優(yōu)點(diǎn)
    • 安全性極高,專為現(xiàn)代硬件設(shè)計(jì)。
    • 防御 GPU 加速的暴力 破解。
  • 缺點(diǎn)
    • 算法較新,部分老舊系統(tǒng)可能不支持。

4. SCrypt

什么是 SCrypt?

SCrypt 是一種基于密碼的密鑰派生函數(shù),尤其適用于限制硬件加速的攻擊(如 GPU 加速的暴力 破解)。它通過增加內(nèi)存使用量,顯著提高了破解成本。

SCrypt 的特點(diǎn)

  • 高安全性:通過增加內(nèi)存占用,防止大規(guī)模硬件加速的攻擊。
  • 參數(shù)可調(diào):可以調(diào)整計(jì)算強(qiáng)度和內(nèi)存使用量,適應(yīng)不同的性能需求。

如何使用

Spring Security 提供了對 SCrypt 的支持,可以直接使用 SCryptPasswordEncoder。

  • 實(shí)現(xiàn)代碼
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;

public class PasswordUtils {
    private static final SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();

    // 加密密碼
    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }

    // 驗(yàn)證密碼
    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}
  • 使用示例
public static void main(String[] args) {
    String rawPassword = "mypassword";
    String encodedPassword = PasswordUtils.encode(rawPassword);

    System.out.println("加密后的密碼:" + encodedPassword);

    boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);
    System.out.println("密碼匹配結(jié)果:" + isMatch);
}

優(yōu)缺點(diǎn)

  • 優(yōu)點(diǎn)

    • 抗 GPU 攻擊能力強(qiáng)。
    • 參數(shù)可調(diào),靈活性高。

  • 缺點(diǎn)

    • 性能較低,適合對安全性要求較高的場景。

5. SHA-256 + Salt

什么是 SHA-256?

SHA-256 是一種廣泛使用的哈希算法,屬于 SHA-2 家族。它生成固定長度的 256 位哈希值,計(jì)算速度快且實(shí)現(xiàn)簡單。單獨(dú)使用 SHA-256 不安全,因?yàn)樗鼰o法抵抗彩虹表攻擊。因此,通常需要搭配 Salt(隨機(jī)鹽值) 使用。

實(shí)現(xiàn)原理

  • 加鹽:為每個(gè)密碼生成一個(gè)隨機(jī)鹽值,增加哈希結(jié)果的隨機(jī)性。
  • 迭代:多次循環(huán)計(jì)算,增加破解難度。

如何使用

需要手動(dòng)實(shí)現(xiàn)加鹽和迭代邏輯,可以使用 Java 的 MessageDigest 類。

  • 實(shí)現(xiàn)代碼
import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;

public class PasswordUtils {

    // 生成隨機(jī)鹽值
    public static String generateSalt() {
        byte[] salt = new byte[16];
        new SecureRandom().nextBytes(salt);
        return Base64.getEncoder().encodeToString(salt);
    }

    // 使用 SHA-256 進(jìn)行加密
    public static String hashPassword(String password, String salt) {
        try {
            MessageDigest digest = MessageDigest.getInstance("SHA-256");
            String saltedPassword = salt + password;
            byte[] hash = digest.digest(saltedPassword.getBytes());
            for (int i = 0; i < 1000; i++) {  // 多次迭代
                hash = digest.digest(hash);
            }
            return Base64.getEncoder().encodeToString(hash);
        } catch (Exception e) {
            throw new RuntimeException("加密失敗", e);
        }
    }

    // 驗(yàn)證密碼
    public static boolean matches(String rawPassword, String salt, String hashedPassword) {
        return hashPassword(rawPassword, salt).equals(hashedPassword);
    }
}
  • 使用示例
public static void main(String[] args) {
    String rawPassword = "mypassword";
    String salt = PasswordUtils.generateSalt();
    String hashedPassword = PasswordUtils.hashPassword(rawPassword, salt);

    System.out.println("隨機(jī)鹽值:" + salt);
    System.out.println("加密后的密碼:" + hashedPassword);

    boolean isMatch = PasswordUtils.matches(rawPassword, salt, hashedPassword);
    System.out.println("密碼匹配結(jié)果:" + isMatch);
}

優(yōu)缺點(diǎn)

  • 優(yōu)點(diǎn)

    • 實(shí)現(xiàn)簡單,速度快。
    • 可用于與舊系統(tǒng)兼容的場景。

  • 缺點(diǎn)

    • 安全性相對較低,需謹(jǐn)慎處理鹽值。

總結(jié)

加密方式安全性性能適用場景
BCrypt中等通用場景,兼容性好
PBKDF2中等高強(qiáng)度密碼存儲(chǔ)
Argon2極高較低對安全性要求極高的場景
SCrypt極高較低防硬件加速攻擊的場景
SHA-256 + Salt中等安全性不敏感的項(xiàng)目,如內(nèi)部項(xiàng)目

推薦選擇

  • 通用場景:推薦使用 BCrypt,它在性能和安全性之間達(dá)到了良好平衡。
  • 高安全性需求:建議使用 Argon2SCrypt。
  • 安全性不敏感的系統(tǒng):可以考慮 SHA-256 + Salt

以上就是SpringBoot實(shí)現(xiàn)密碼安全存儲(chǔ)的五種方式小結(jié)的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot密碼存儲(chǔ)的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • SpringBoot?+?proguard+maven多模塊實(shí)現(xiàn)代碼混淆的方法

    SpringBoot?+?proguard+maven多模塊實(shí)現(xiàn)代碼混淆的方法

    這篇文章主要介紹了SpringBoot?+?proguard+maven多模塊實(shí)現(xiàn)代碼混淆的方法,多模塊跟單模塊一樣,在需要混淆模塊的pom文件中加入proguard依賴及配置,本文給大家講解的非常詳細(xì),感興趣的朋友一起看看吧
    2024-02-02
  • Java Optional<Foo>轉(zhuǎn)換成List<Bar>的實(shí)例方法

    Java Optional<Foo>轉(zhuǎn)換成List<Bar>的實(shí)例方法

    在本篇內(nèi)容里小編給大家整理的是一篇關(guān)于Java Optional<Foo>轉(zhuǎn)換成List<Bar>的實(shí)例方法,有需要的朋友們可以跟著學(xué)習(xí)下。
    2021-06-06
  • 淺談Spring Boot日志框架實(shí)踐

    淺談Spring Boot日志框架實(shí)踐

    這篇文章主要介紹了淺談Spring Boot日志框架實(shí)踐,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2018-03-03
  • 基于雪花算法實(shí)現(xiàn)增強(qiáng)版ID生成器詳解

    基于雪花算法實(shí)現(xiàn)增強(qiáng)版ID生成器詳解

    這篇文章主要為大家詳細(xì)介紹了如何基于雪花算法實(shí)現(xiàn)增強(qiáng)版ID生成器,文中的示例代碼講解詳細(xì),對我們學(xué)習(xí)具有一定的借鑒價(jià)值,需要的可以了解一下
    2022-10-10
  • java連接SQL?Server數(shù)據(jù)庫的超詳細(xì)教程

    java連接SQL?Server數(shù)據(jù)庫的超詳細(xì)教程

    最近在java連接SQL數(shù)據(jù)庫時(shí)會(huì)出現(xiàn)一些問題,所以這篇文章主要給大家介紹了關(guān)于java連接SQL?Server數(shù)據(jù)庫的超詳細(xì)教程,文中通過圖文介紹的非常詳細(xì),需要的朋友可以參考下
    2022-06-06
  • 關(guān)于IDEA報(bào)錯(cuò)Error:java 不支持發(fā)行版本17的原因及解決方案

    關(guān)于IDEA報(bào)錯(cuò)Error:java 不支持發(fā)行版本17的原因及解決方案

    在rebuild或運(yùn)行項(xiàng)目時(shí)提示“Error:java: 錯(cuò)誤: 不支持發(fā)行版本 17”,本文將給大家介紹了IDEA提示“Error:java: 錯(cuò)誤: 不支持發(fā)行版本17”的原因及解決方案,需要的朋友可以參考下
    2023-09-09
  • 解決eclipse中console控制選項(xiàng)不見了的方法

    解決eclipse中console控制選項(xiàng)不見了的方法

    eclipse是一款用于編譯java語言的程序,利用這款軟件我們可以制作很多有趣的小程序,也可以制作一些大型的軟件項(xiàng)目,有的用戶在使用eclipse的時(shí)候會(huì)遇到console消失的情況,所以本文給大家介紹了解決eclipse中console控制選項(xiàng)不見了的方法,需要的朋友可以參考下
    2024-03-03
  • JavaWeb詳細(xì)講述Cookie和Session的概念

    JavaWeb詳細(xì)講述Cookie和Session的概念

    web開發(fā)階段我們主要是瀏覽器和服務(wù)器之間來進(jìn)行交互。瀏覽器和服務(wù)器之間的交互就像人和人之間進(jìn)行交流一樣,但是對于機(jī)器來說,在一次請求之間只是會(huì)攜帶著本次請求的數(shù)據(jù)的,但是可能多次請求之間是會(huì)有聯(lián)系的,所以提供了會(huì)話機(jī)制
    2022-06-06
  • Java多線程實(shí)現(xiàn)聊天客戶端和服務(wù)器

    Java多線程實(shí)現(xiàn)聊天客戶端和服務(wù)器

    這篇文章主要為大家詳細(xì)介紹了Java多線程聊天客戶端和服務(wù)器實(shí)現(xiàn)代碼,文中示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2016-10-10
  • mybatis某些字段無法映射成功的解決

    mybatis某些字段無法映射成功的解決

    這篇文章主要介紹了mybatis某些字段無法映射成功的解決方法,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-11-11

最新評論