java密码问题处理

      在平时的开发中,通常涉及一些私密字段的保存 如用户密码等,这些字段不应把明文直接保存到数据库,如果这样万一管理员的人品出现了问题 用户资料的安全性就很难保证了;因此毫无疑问,数据库中应该 保存这些字段的密文形式,而且加密的算法应该是不可逆的,这样即使别人能获得密文和源代码 也无法得到用户密码的明文!在这里我的做法如下 :

 

 

1 在数据库中(oracle中)建立一个表,建表语句如下

 建表语句
  create table TEST_QJK_STU
(
  ID          INTEGER not null,
  STUNAME     VARCHAR2(20),
  STUPASSWORD RAW(512)
)

 

 

2 java代码中实体bean代码如下

public class Student {
   
    private Integer stuId;
    private String name;
    private Date birthday;
    private String sex;
    private String passport;
    private byte[] password;
    /*set,get方法省略*/
}

 

3

3加密算法的实现
public static byte[] md5EncodeToByte(String input){
        MessageDigest md5;
        String output=null;
       
        try {
            md5 = MessageDigest.getInstance("MD5");
            md5.update(input.getBytes());
            byte []theDigest=md5.digest();
            output=new BASE64Encoder().encode(theDigest);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
       
        return output.getBytes();
    }

字符串123加密的结果形式为:
494379355971785A42317557537763564C534E4C63413D3D

 

4 用hibernate,ibatis等进行对象持久化(省略),即把实体bean对象保存到数据库

 

 

 

评论

9 楼 leeldy 2009-02-02  

thevone119 写道

用户名加密码也没用啊。。 一样的！
如果说管理员有操作数据库的权限，那你做任何安全都是没意义的。

也对，有了权限以后什么都可以改了
就看那个管理有够不够聪明

最好的办法就是不给某些权限

8 楼 xuyao 2009-02-02  

不错的帖子

7 楼 thevone119 2009-02-02  

用户名加密码也没用啊。。 一样的！
如果说管理员有操作数据库的权限，那你做任何安全都是没意义的。

6 楼 qinjingkai 2009-02-02  

基本上明白二楼的意思,谢谢 了

5 楼 jlxiaopang 2009-02-02  

学习了，看了二楼的提问，思考后感觉确实要加个用户名，想想方法应该和原来的一样，只是吧input的字符串变成了用户名+密码

4 楼 qinjingkai 2009-02-02  

这确实是一个问题,请问xiaoyu应该如何做啊???

3 楼 jiyanliang 2009-02-02  

正如xiaoyu说的，最好加上个salt

2 楼 aidsag 2009-02-02  

呵呵有道理！！

1 楼 xiaoyu 2009-02-02  

楼主有没有想如果A用户和B用户密码一样的话， 所得到的密文就是一样的。

这样所谓的攻击者就可以注册一个用户， 密码是A， 然后到数据库， 复制这个用户的密码复盖其它用户的密码， 其它用户的密码就变成了A。

因为注意的用户名大部分的系统是不准改变的， 所以 最终密文 == HASH(密码明文， 用户名)