对用户密码进行加盐处理

按：以下还是炒冷饭，如果您对加盐了解就不用往下看了，以免浪费宝贵时间。

如果不了解下文部分细节的话，您可以参考这篇文章：使用MD5对存放在数据库中用户密码进行保护


直接对重要数据进行MD5处理后，反向解密确实难度很大，但还是可以找出破绽的，请看下图：


如果名为李自成的用户可以查看数据库，那么他可以观察到自己的密码和别人的密码加密后的结果都是一样，那么，别人用的和自己就是同一个密码，这样，就可以利用别人的身份登录了。

那么我们以前的加密方法是否对这种行为失效了呢？其实只要稍微混淆一下就能防范住了，这在加密术语中称为“加盐”。具体来说就是在原有材料（用户自定义密码）中加入其它成分（一般是用户自有且不变的因素），以此来增加系统复杂度。当这种盐和用户密码相结合后，再通过摘要处理，就能得到隐蔽性更强的摘要值。下面请见代码：

// 对密码进行加盐后加密，加密后再通过Hibernate往数据库里存
        String changedPswd=DigestUtils.md5Hex(name+pswd);

就是这样简单，上面代码中盐就是用户名，可以的话还可以用用户注册时的邮件，注册时间等非空信息（如果是空信息这个加盐处理会失效）。

下面是数据库中两个用户的记录，他们的实际登录密码都是123456，但光看用户记录是完全看不出来的。这下别有用心的人打开数据库看到的密码都完全不一样，他以前的手段就失效了。

加盐就是这样简单，感谢您看到这里。

http://www.blogjava.net/heyang/archive/2010/11/28/339233.html

现在的MD5密码数据库的数据量已经非常庞大了，大部分常用密码都可以通过MD5摘要反向查询到密码明文。为了防止内部人员（能够接触到数据库或者数据库备份文件的人员）和外部入侵者通过MD5反查密码明文，更好地保护用户的密码和个人帐户安全（一个用户可能会在多个系统中使用同样的密码，因此涉及到用户在其他网站和系统中的数据安全），需要对MD5摘要结果掺入其他信息，称之为加盐。  

加盐的算法有很多，考虑到加盐的目的（防止拥有系统底层权限的人员），想做到绝对不可反查是很困难的，需要有其他软件或者硬件的协助，在很多场景下的实用性比较差。如果只是想增加反查的难度，倒是有很多方法可以选择，一种便利的方法是md5(Password+UserName)，即将用户名和密码字符串相加再MD5，这样的MD5摘要基本上不可反查。但有时候用户名可能会发生变化，发生变化后密码即不可用了（验证密码实际上就是再次计算摘要的过程）。  

因此我们做了一个非常简单的算法，每次保存密码到数据库时，都生成一个随机16位数字，将这16位数字和密码相加再求MD5摘要，然后在摘要中再将这16位数字按规则掺入形成一个48位的字符串。在验证密码时再从48位字符串中按规则提取16位数字，和用户输入的密码相加再MD5。按照这种方法形成的结果肯定是不可直接反查的，且同一个密码每次保存时形成的摘要也都是不同的。如以下代码所示：  

Java代码  

1. package com.zving.framework.security;  
2.   
3. import java.security.MessageDigest;  
4. import java.util.Random;  
5.   
6. import org.apache.commons.codec.binary.Hex;  
7.   
8. /** 
9.  * @author wyuch 
10.  * @email wyuch@zving.com 
11.  * @date 2011-12-31 
12.  */  
13. public class PasswordUtil {  
14.     /** 
15.      * 生成含有随机盐的密码 
16.      */  
17.     public static String generate(String password) {  
18.         Random r = new Random();  
19.         StringBuilder sb = new StringBuilder(16);  
20.         sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));  
21.         int len = sb.length();  
22.         if (len < 16) {  
23.             for (int i = 0; i < 16 - len; i++) {  
24.                 sb.append("0");  
25.             }  
26.         }  
27.         String salt = sb.toString();  
28.         password = md5Hex(password + salt);  
29.         char[] cs = new char[48];  
30.         for (int i = 0; i < 48; i += 3) {  
31.             cs[i] = password.charAt(i / 3 * 2);  
32.             char c = salt.charAt(i / 3);  
33.             cs[i + 1] = c;  
34.             cs[i + 2] = password.charAt(i / 3 * 2 + 1);  
35.         }  
36.         return new String(cs);  
37.     }  
38.   
39.     /** 
40.      * 校验密码是否正确 
41.      */  
42.     public static boolean verify(String password, String md5) {  
43.         char[] cs1 = new char[32];  
44.         char[] cs2 = new char[16];  
45.         for (int i = 0; i < 48; i += 3) {  
46.             cs1[i / 3 * 2] = md5.charAt(i);  
47.             cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);  
48.             cs2[i / 3] = md5.charAt(i + 1);  
49.         }  
50.         String salt = new String(cs2);  
51.         return md5Hex(password + salt).equals(new String(cs1));  
52.     }  
53.   
54.     /** 
55.      * 获取十六进制字符串形式的MD5摘要 
56.      */  
57.     public static String md5Hex(String src) {  
58.         try {  
59.             MessageDigest md5 = MessageDigest.getInstance("MD5");  
60.             byte[] bs = md5.digest(src.getBytes());  
61.             return new String(new Hex().encode(bs));  
62.         } catch (Exception e) {  
63.             return null;  
64.         }  
65.     }  
66.   
67.     public static void main(String[] args) {  
68.         String password = generate("admin");  
69.         System.out.println(verify("admin", password));  
70.     }  
71. }