Java使用bcrypt實現對密碼加密效果詳解

2022-03-16 10:01:07

簡介

本文用範例介紹使用對密碼進行加密的演演算法：bcrypt。

bcrypt是一種自帶鹽值（自動加鹽）的加密方案。

bcrypt加密原理

加密過程

先隨機生成salt
salt跟password進行hash

注意

對於同一個密碼，每次生成的hash是不同的
hash中包含了salt

校驗過程

從hash中取出salt
salt跟password進行hash計算
將得到的hash跟資料庫中提取的的hash進行比對返回Boolean型別：true/false

bcrypt與md5的區別

項	md5	bcrypt
密文長度	32位元	60位元
安全性	安全性差。密碼相同時，加密後密文一樣。提升安全性的方案：加密前生成隨機的鹽值（字串），將它與密碼拼接，然後再使用md5加密。	安全性好。密碼相同時，生成的密文是不一樣的。（因為它自動生成隨機鹽值）
加密耗時	短	略長

範例

1、引入依賴

pom.xml加入如下依賴：

<dependency>
    <groupId>org.mindrot</groupId>
    <artifactId>jbcrypt</artifactId>
    <version>0.4</version>
</dependency>

總的pom.xml：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>demo_SpringBoot</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo_SpringBoot</name>
    <description>Demo project for Spring Boot</description>
 
    <properties>
        <java.version>1.8</java.version>
    </properties>
 
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
 
        <dependency>
            <groupId>org.mindrot</groupId>
            <artifactId>jbcrypt</artifactId>
            <version>0.4</version>
        </dependency>
 
    </dependencies>
 
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.3.0.RELEASE</version>
            </plugin>
        </plugins>
    </build>
 
</project>

2、寫測試類

package com.example.controller;
 
import org.mindrot.jbcrypt.BCrypt;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
 
@RestController
public class HelloController {
    @GetMapping("/test")
    public String test() {
        String password = "123456";
 
        // 加密
        String encodedPassword = BCrypt.hashpw(password, BCrypt.gensalt());
        System.out.println(encodedPassword);
 
        // 使用正確密碼驗證密碼是否正確
        boolean flag = BCrypt.checkpw(password, encodedPassword);
        System.out.println(flag);
 
        // 使用錯誤密碼驗證密碼是否正確
        flag = BCrypt.checkpw("111222", encodedPassword);
        System.out.println(flag);
 
        System.out.println("-------------------------------------------");
 
        return "test success";
    }
}

3、測試

存取：http://localhost:8080/test/

多次存取後的後端結果：

$2a$10$63I66GOCxncIufBHEzcbF.LUBA45jCFwATVXz7MTzp7bpDn.SQMSG
true
false
-------------------------------------------
$2a$10$CV7iT/TpZVx23IdEvMHhleRSnIPPI2N/s..Cl9Bd50V2LFdff1woa
true
false
-------------------------------------------
$2a$10$wNTnhUedcx0InkAflqWm0O9M163WRR/RCGLdBSfhrgzJQuBZoEeEG
true
false
-------------------------------------------