当前位置：首页 > article >正文

Java密码加密存储算法，SpringBoot 实现密码安全存储

article 2025/6/5 21:46:08

文章目录

一、写在前面
二、密码加密存储方式
- 1、基于MD5加盐方式
- 2、SHA-256 + Salt（不需要第三方依赖包）
- 3、使用 BCrypt 进行哈希
- 4、使用 PBKDF2 进行哈希
- 5、使用 Argon2 进行哈希
- 6、SCrypt

一、写在前面

日常开发中，用户密码存储是严禁明文存入数据库中的，原因如下：
1.数据泄露风险：如果数据库被攻击，所有用户的密码将直接暴露。
2.用户隐私保护：许多用户可能在多个平台使用相同的密码，明文存储会增加其他账户被攻破的风险。
3.法律与合规要求：许多安全标准（如 GDPR、OWASP 等）都明确禁止明文存储密码。
因此，密码在存储前必须进行加密或哈希处理。

二、密码加密存储方式

1、基于MD5加盐方式

1、首先引入依赖包

<!--MD5加密 对铭文信息进行加密操作-->
<dependency><groupId>commons-codec</groupId><artifactId>commons-codec</artifactId>
</dependency>

2、工具类，注意，盐可以考虑单独存储为一个数据库字段，此处为了方便

import org.apache.commons.codec.binary.Hex;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;/*** @Description 将明文密码进行MD5加盐加密**/
public class SaltMD5Util {/*** @Description 生成普通的MD5密码**/public static String MD5(String input) {MessageDigest md5 = null;try {// 生成普通的MD5密码md5 = MessageDigest.getInstance("MD5");} catch (NoSuchAlgorithmException e) {return "check jdk";} catch (Exception e) {e.printStackTrace();return "";}char[] charArray = input.toCharArray();byte[] byteArray = new byte[charArray.length];for (int i = 0; i < charArray.length; i++)byteArray[i] = (byte) charArray[i];byte[] md5Bytes = md5.digest(byteArray);StringBuffer hexValue = new StringBuffer();for (int i = 0; i < md5Bytes.length; i++) {int val = ((int) md5Bytes[i]) & 0xff;if (val < 16)hexValue.append("0");hexValue.append(Integer.toHexString(val));}return hexValue.toString();}/*** @Description 生成盐和加盐后的MD5码，并将盐混入到MD5码中,对MD5密码进行加强**/public static String generateSaltPassword(String password) {Random random = new Random();//生成一个16位的随机数，也就是所谓的盐/*** 此处的盐也可以定义成一个系统复杂点的常量,而不是非要靠靠随机数随机出来 两种方式任选其一 例如下面这行代码:* 盐加密 ：SALT的字符串是随意打的，目的是把MD5加密后的再次加密变得复杂* public static final String SALT = "fskdhfiuhjfshfjhsad4354%@!@#%3";**/StringBuilder stringBuilder = new StringBuilder(16);stringBuilder.append(random.nextInt(99999999)).append(random.nextInt(99999999));int len = stringBuilder.length();if (len < 16) {for (int i = 0; i < 16 - len; i++) {stringBuilder.append("0");}}// 生成盐String salt = stringBuilder.toString();//将盐加到明文中，并生成新的MD5码password = md5Hex(password + salt);//将盐混到新生成的MD5码中，之所以这样做是为了后期更方便的校验明文和秘文，也可以不用这么做，不过要将盐单独存下来，不推荐这种方式char[] cs = new char[48];for (int i = 0; i < 48; i += 3) {cs[i] = password.charAt(i / 3 * 2);char c = salt.charAt(i / 3);cs[i + 1] = c;cs[i + 2] = password.charAt(i / 3 * 2 + 1);}return new String(cs);}/*** @Description 验证明文和加盐后的MD5码是否匹配**/public static boolean verifySaltPassword(String password, String md5) {//先从MD5码中取出之前加的盐和加盐后生成的MD5码char[] cs1 = new char[32];char[] cs2 = new char[16];for (int i = 0; i < 48; i += 3) {cs1[i / 3 * 2] = md5.charAt(i);cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);cs2[i / 3] = md5.charAt(i + 1);}String salt = new String(cs2);//比较二者是否相同return md5Hex(password + salt).equals(new String(cs1));}/*** @Description 生成MD5密码**/private static String md5Hex(String src) {try {MessageDigest md5 = MessageDigest.getInstance("MD5");byte[] bs = md5.digest(src.getBytes());return new String(new Hex().encode(bs));} catch (Exception e) {return null;}}public static void main(String args[]) {// 原密码String password = "123456";System.out.println("明文(原生)密码：" + password);// MD5加密后的密码String MD5Password = SaltMD5Util.MD5(password);System.out.println("普通MD5加密密码：" + MD5Password);// 获取加盐后的MD5值String SaltPassword = SaltMD5Util.generateSaltPassword(password);System.out.println("加盐后的MD密码：" + SaltPassword);System.out.println("加盐后的密码和原生密码是否是同一字符串:" + SaltMD5Util.verifySaltPassword(password, SaltPassword));}}

2、SHA-256 + Salt（不需要第三方依赖包）

SHA-256 是一种广泛使用的哈希算法，属于 SHA-2 家族。它生成固定长度的 256 位哈希值，计算速度快且实现简单。单独使用 SHA-256 不安全，因为它无法抵抗彩虹表攻击。因此，通常需要搭配 Salt（随机盐值）使用。


import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;public class PasswordUtils {// 生成随机盐值public static String generateSalt() {byte[] salt = new byte[16];new SecureRandom().nextBytes(salt);return Base64.getEncoder().encodeToString(salt);}// 使用 SHA-256 进行加密public static String hashPassword(String password, String salt) {try {MessageDigest digest = MessageDigest.getInstance("SHA-256");String saltedPassword = salt + password;byte[] hash = digest.digest(saltedPassword.getBytes());for (int i = 0; i < 1000; i++) { // 多次迭代hash = digest.digest(hash);}return Base64.getEncoder().encodeToString(hash);} catch (Exception e) {throw new RuntimeException("加密失败", e);}}// 验证密码public static boolean matches(String rawPassword, String salt, String hashedPassword) {return hashPassword(rawPassword, salt).equals(hashedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String salt = PasswordUtils.generateSalt();String hashedPassword = PasswordUtils.hashPassword(rawPassword, salt);// 注意，要将盐保存数据库，密码匹配时要查询盐System.out.println("随机盐值：" + salt);System.out.println("加密后的密码：" + hashedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, salt, hashedPassword);System.out.println("密码匹配结果：" + isMatch);}
}

3、使用 BCrypt 进行哈希

BCrypt 是一种基于 Blowfish 加密算法的哈希函数，专为密码存储设计，具有以下特点：
• 内置加盐机制，避免彩虹表攻击。
• 支持设置计算复杂度，可增强哈希强度。
• 哈希结果固定为 60 个字符，方便存储。

1、引包，如果未使用 Spring Security，需要单独引入 spring-security-crypto

<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>

2、使用

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;public class PasswordUtils {private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码：" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果：" + isMatch);}
}

4、使用 PBKDF2 进行哈希

PBKDF2（Password-Based Key Derivation Function 2）是一种基于密码的密钥派生函数，支持多次迭代计算，进一步增强安全性。

1、引包，如果未使用 Spring Security，需要单独引入 spring-security-crypto

<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>

2、使用

import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;public class PasswordUtils {private static final Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码：" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果：" + isMatch);}
}

5、使用 Argon2 进行哈希

Argon2 是一种密码哈希算法，2015 年获得密码哈希竞赛（Password Hashing Competition）冠军。它目前被认为是最安全的密码哈希算法之一。

1、引包，如果未使用 Spring Security，需要单独引入 spring-security-crypto

<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk18on</artifactId><version>1.80</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>

2、使用

import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;public class PasswordUtils {private static final Argon2PasswordEncoder encoder = new Argon2PasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码：" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果：" + isMatch);}
}

6、SCrypt

SCrypt 是一种基于密码的密钥派生函数，尤其适用于限制硬件加速的攻击（如 GPU 加速的暴力破解）。它通过增加内存使用量，显著提高了破解成本。

1、引包，如果未使用 Spring Security，需要单独引入 spring-security-crypto

<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk18on</artifactId><version>1.80</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-crypto</artifactId>
</dependency>

2、使用

import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;public class PasswordUtils {private static final SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();// 加密密码public static String encode(String rawPassword) {return encoder.encode(rawPassword);}// 验证密码public static boolean matches(String rawPassword, String encodedPassword) {return encoder.matches(rawPassword, encodedPassword);}public static void main(String[] args) {String rawPassword = "mypassword";String encodedPassword = PasswordUtils.encode(rawPassword);System.out.println("加密后的密码：" + encodedPassword);boolean isMatch = PasswordUtils.matches(rawPassword, encodedPassword);System.out.println("密码匹配结果：" + isMatch);}
}

文章目录

一、写在前面

二、密码加密存储方式

1、基于MD5加盐方式

2、SHA-256 + Salt（不需要第三方依赖包）

3、使用 BCrypt 进行哈希

4、使用 PBKDF2 进行哈希

5、使用 Argon2 进行哈希

6、SCrypt

相关文章：