密码加盐加密存储及其登录验证方式

加盐加密存储及其登录验证方式"/>

密码加盐加密存储及其登录验证方式

概述

本文介绍一种常用的密码加密存储方式，并附上登录时验证用户密码的方法。代码用 Java 来实现，结尾附带有 github 的源码链接。

创建账号

用户注册账号，填写好密码后传递到后端。密码的形式一般是经过前端 md5 加密过的。

账号实体类

public class Account {/*** 其他账号的字段省略*/private String salt;private String hashedCredential;// 省略getter setter方法
}

密码处理逻辑

/*** 创建账号* @param principle 用户账号* @param frontendPassword 用户密码，用户在前端输入的密码以 md5 的形式传到后端*/
public void createAccount(String principle, String frontendPassword) {Account account = md5WithSalt(frontendPassword);// 保存账号，模拟数据库保存DB_ACCOUNTS.put(principle, account);
}// ~ private
private Account md5WithSalt(String frontendPassword) {Account account = new Account();// 随机字符串做盐account.setSalt(UUID.randomUUID().toString());// 盐和密码结合取hash值account.setHashedCredential(SecurityUtil.md5Hex(account.getSalt() + frontendPassword));return account;
}

登录校验

根据账号来获取它的盐并且和登录时输入的密码求hash，此 hash 值和数据库存取的 hash 值相等则密码校验通过。

/*** 登录逻辑* @param principle 用户账号* @param frontendPassword 用户密码，用户在前端输入的密码以 md5 的形式传到后端* @return true-登录成功，false-登录失败*/
public Boolean login(String principle, String frontendPassword) {Account account = DB_ACCOUNTS.get(principle);if (account == null) {return false;}return account.getHashedCredential().equals(SecurityUtil.md5Hex(account.getSalt() + frontendPassword));
}

示例源码

LoginDemo.java