如何在数据库中存储密码？

Question

如何在数据库中存储密码？

我在我的Web应用程序中使用jsp和servlet.我需要在数据库中存储密码.我发现哈希将是最好的方法.我用这个代码来做.

                <%@page import="com.jSurvey.entity.*"    %>
    <%@page import="java.security.MessageDigest" %>
    <%@page import="java.security.NoSuchAlgorithmException" %>
    <%@page import="java.math.BigInteger" %>
    <%@page import="com.jSurvey.controller.*" %>
    <%@page import="sun.misc.BASE64Encoder" %>
    <%try {
                    String user = request.getParameter("Username");
                    String pass = request.getParameter("Password1");
                    String name = request.getParameter("Name");
                    String mail = request.getParameter("email");
                    String phone = request.getParameter("phone");
                    String add1 = request.getParameter("address1");
                    String add2 = request.getParameter("address2");
                    String country = request.getParameter("country");
                    Login login = new Login();
                    Account account = new Account();

                    login.setId(user);
                    login.setPassword(pass);
                    if (!(add1.equals(""))) {
                        account.setAddress1(add1);
                    }
                    if (!(add2.equals(""))) {
                        account.setAddress2(add2);
                    }
                    if (!(country.equals(""))) {
                        account.setCountry(country);
                    }
                    account.setId(user);
                    account.setMail_id(mail);
                    if (!(phone.equals(""))) {
                        account.setPhone_no(Long.parseLong(phone));
                    }
                    account.setName(name);
                    java.security.MessageDigest d = null;
                    d = java.security.MessageDigest.getInstance("SHA-1");
                    d.reset();
                    d.update(pass.getBytes("UTF-8"));
                    byte b[] = d.digest();
                    String tmp = (new BASE64Encoder()).encode(b);

                    account.setPassword(tmp);
                    account.setPrivilege(1);
                    LoginJpaController logcon = new LoginJpaController();
                    AccountJpaController acccon = new AccountJpaController();
                    logcon.create(login);
                    acccon.create(account);
                    session.setAttribute("user", user);
                    response.sendRedirect("dashboard.jsp");
                } catch (NumberFormatException ex) {
                    out.println("Invalid data");
                }
    %>

Run Code Online (Sandbox Code Playgroud)

当我试图打印tmp的值时,我得到了一些其他的值.我猜它是密码的哈希值.但是当我将这些数据保存到数据库时,原始密码将被保存在那里,而不是tmp中的值.

我使用java derby作为数据库.

问题是什么？？？

Answer 1

kri*_*ico 8

Apache有一个公共库,即Commons Codec,它可以更容易地对密码进行编码.它将为您完成整个工作.

import org.apache.commons.codec.digest.DigestUtils;

String pw = DigestUtils.sha256Hex(password);

Run Code Online (Sandbox Code Playgroud)

或者如果你想要base64:

import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.codec.binary.Base64;

byte[] pwBytes = DigestUtils.sha(password);
String b64Pass = Base64.encodeBase64String(pwBytes);

Run Code Online (Sandbox Code Playgroud)

Answer 2

Boz*_*zho 5

加入盐.例如,在散列之前将电子邮件附加到密码.这将阻止彩虹表的使用
确保tmp在INSERT查询中使用,而不是使用原始密码.
不要用BASE64Encoder.它是Sun内部库的一部分,可能会发生变化.使用commons-codec Base64

归档时间：	15 年，8 月前
查看次数：	10705 次
最近记录：	15 年，7 月前