1. 用户的密码如何保存在数据库中?

假设小明的账号是 ikun密码是 jinitaimei
那么我们可以设计一张表

  1. CREATE TABLE account (
  2.     username varchar(30),
  3.     password varchar(100)
  4. );

那么我们存入数据库之后, 就是这样的
image.png
可惜天不遂人愿, 系统被入侵了, 小黑子把鸡脚偷走了
这一下好了, 小黑子能拿小明的账号登录系统了

2. 怎么防止数据库中的密码被别人获取呢?

最简单的思想就是将密码加密后存入数据库

那么我们就通过对称加密手段, 把密码加密

  1. public static void main(String[] args) throws Exception {
  2.     String password = "jinitaimei";
  3.     System.out.println(encrypt(password));
  4. }

image.png
最后经过一番计算jinitaimei就变成了 qdPxlb+qci6riQRvnm/k3A==

3. 密码还是泄露了

好了现在密码经过加密, 小黑子拿到了一串没有意义的字符串, 也没有秘钥反推不出来真正的密码

但是, 小黑子发现, 好几个人的密码的密文都是一模一样的
image.png

恰巧小黑子通过撞库等手段 知道 james 的密码就是 jinitaimei
这下好了小黑子一下就知道了, 密文是qdPxlb+qci6riQRvnm/k3A==的用户 密码就是jinitaimei
ikun的秘密又不保了

4. 同样的密码, 不同的密文

看来要解决密码相同导致密文相同的问题, 我们需要一种办法: 同样的密码能加密成不同的密文

如何能起到这种效果呢?
那就是 加盐

5. 加密时加盐

假设我们的盐是一个随机的4位数数字
然后我们只要把原来的密码与4位数字拼接起来, 再进行加密, 就能得到加盐后的密文

  1. public static void main(String[] args) throws Exception {
  2.     String password = "jinitaimei";
  3.     for (int i = 0; i < 4; i++) {
  4.         String passwordWithSalt = password + RandomUtil.randomInt(1000, 9999);
  5.         System.out.println(encrypt(passwordWithSalt));
  6.     }
  7. }

image.png
数据库里看起来是完全不同的密码
image.png

6. 解密

数据库里的password内容小黑子已经无法通过比对的方式知道了
那我们程序如何解密呢?

  1. public static void main(String[] args) throws Exception {
  2.     List<String> miwenList = List.of(
  3.             "NrCwWnOZmbXlgi1ZwJJPBA==",
  4.             "XEXwpBk/95aTViwJQKQvZQ==",
  5.             "XUrfbLcHcCFBKz5wEwLjGA==", 
  6.             "9hwtmzoNe64/IdX9IkfU4A=="
  7.     );
  8.     for (String miwen : miwenList) {
  9.         System.out.println(decrypt(miwen));
  10.     }
  11. }

解密后的字符串
image.png

现在我们再将这些字符串的最后4位删除, 就能得到真正的password了 jinitaimei

粗糙的实现了一下加密和解密的代码
主要是为了展示加盐操作

  • 加密

    1. private static String encrypt(String content) throws Exception {
    2.   String aesKey = "27d1cfcc412340d2";
    3.   // 让java支持PKCS7Padding
    4.   Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    5.   SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
    6.   // "算法/模式/补码方式"
    7.   Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    8.   // 使用CBC模式,需要一个向量iv,可增加加密算法的强度
    9.   IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
    10.   cipher.init(Cipher.ENCRYPT_MODE, skeySpec, iv);
    11.   byte[] encrypted = cipher.doFinal(content.getBytes("UTF-8"));
    12.   // 此处使用BASE64做转码功能,同时能起到2次加密的作用。
    13.   return Base64.getEncoder().encodeToString(encrypted);
    14. }

  • 解密

    1. private static String decrypt(String miwen) throws Exception {
    2.   String aesKey = "27d1cfcc412340d2";
    3.   // 让java支持PKCS7Padding
    4.   Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
    5.   SecretKeySpec skeySpec = new SecretKeySpec(aesKey.getBytes(), "AES");
    6.   Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    7.   IvParameterSpec iv = new IvParameterSpec(aesKey.getBytes());
    8.   cipher.init(Cipher.DECRYPT_MODE, skeySpec, iv);
    9.   // 先用base64解密
    10.   byte[] encrypted1 = Base64.getDecoder().decode(miwen);
    11.   byte[] original = cipher.doFinal(encrypted1);
    12.   return new String(original, "UTF-8");
    13. }