首页 > 其他分享 >如何安全的保存用户密码

如何安全的保存用户密码

时间:2023-01-06 12:22:56浏览次数:29  
标签:散列值 数据库 用户 保存 密码 字符串

一。什么是散列算法

为了保证密码的安全,我们经常会用到散列算法对密码进行加密。

散列算法的3个特点:

1. 同样的字符串会生成相同的散列值(散列值就是一堆乱七八糟的字符串)。

2. 不同的字符串生成的散列值很有可能不一样。只要对字符串做了一点微小改动,生成的散列值会有天翻地覆的变化。

3. 不能由散列值计算出原始的字符串。

二。如何安全的保存用户密码

1. 将用户密码的散列值保存到数据库。

通常,我们会将用户名和密码保存到数据库的用户表中,但为了防止数据库被黑或者密码被网站内部人员看到,我们不能直接将密码明文保存到数据库。

在用户注册的时候,将用户密码的散列值保存到数据库。用户登录的时候,将用户输入的密码计算出散列值,将计算出的散列值和数据库中保存的散列值做比较,相等就表示登录成功。但这样做,我们的密码就安全了吗?No! 请接着看下面。

2. 一些人可能拥有常用的简单密码和对应散列值的数据库(如下图),所以,只要有人拿到你密码的散列值就可以得到你的原始密码。为了解决这个问题,我们可以引入加盐算法。

在用户注册的时候,随机的生成一段复杂字符串作为盐(如d3!Ab_&),并把盐保存到数据库中,同时在用户注册的密码后拼接上盐再计算生成散列值,即散列值 = MD5(注册Password + Salt)。用户登陆的时候,把MD5(登录Password + Salt)生成的值和数据库已有的散列值做比较,相等就表示登录成功。这样的话,即使有人拿到了你密码的散列值,也无法推算出你的原始密码。这也是QQ只有重置密码的功能而没有发送原始密码功能的原因。

标签:散列值,数据库,用户,保存,密码,字符串
From: https://www.cnblogs.com/Jeffreyliang/p/17030077.html

相关文章