用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。
特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。
BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。
用法很简单:
//hashed就是明文密码password加密后的结果,存储到数据库
String hashed = BCrypt.hashpw(password, BCrypt.gensalt());
//candidate是明文密码,checkpw方法返回的是boolean
if (BCrypt.checkpw(candidate, hashed))
System.out.println("It matches");
else
System.out.println("It does not match");
BCrypt下载:http://www.mindrot.org/projects/jBCrypt/
来源:oschina
链接:https://my.oschina.net/u/76091/blog/492885