只对密码进行md5加密很容易反推出来,另外两个用户的密码相同时,数据库保存相同的密码,知道一个用户的密码就知道另一个。
解决方法是在用户的短密码后面加上一段长字符,再计算 md5,这样反推出原始密码就变得非常困难,而且即使两个用户密码相同,数据库保存的密码也不一样。加上的这段长字符,称为盐(Salt),通过这种方式加密的结果,称为 加盐 Hash。
使用例子:
假设有两个用户admin和abc,密码都为123456,注册时,盐取用户名+一个MD5值。
最终计算出来的密码不一样。
package com.example.shiro; import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; public class TestPasswordSalt { public static void main(String[] args) { String pwd1 = md5("123456", "admin8d78869f470951332959580424d4bf4f"); System.out.println(pwd1);
//密码:d3c59d25033dbf980d29554025c23a75 String pwd2 = md5("123456", "abc0c23e95fd137ea96c4ef24366b7e6f1f"); System.out.println(pwd2);
//密码:ae8bb0dd40e4eddeac081f8e31afdaed } public static final String md5(String password, String salt){ //加密方式 String hashAlgorithmName = "MD5"; //盐:相同密码使用不同的盐加密后的结果不同 ByteSource byteSalt = ByteSource.Util.bytes(salt); //密码 Object source = password; //加密次数 int hashIterations = 2; SimpleHash result = new SimpleHash(hashAlgorithmName, source, byteSalt, hashIterations); return result.toString(); } }
数据库表字段保存见下面表,登录后取用户名+salt进行验证。
| username | password | salt |
| admin | d3c59d25033dbf980d29554025c23a75 | 8d78869f470951332959580424d4bf4f |
| abc | ae8bb0dd40e4eddeac081f8e31afdaed | 0c23e95fd137ea96c4ef24366b7e6f1f |