如何将salt与生成的密码进行比较

public static String saltPassword(String password) throws NoSuchAlgorithmException{
String salt = getSalt();
return password + salt;
}
public static String getSalt(){
Random r = new SecureRandom();
byte[] saltBytes = new byte[32];
r.nextBytes(saltBytes);
return Base64.getEncoder().encodeToString(saltBytes);
}

您还应该存储盐。Salt用于在两个用户选择相同密码时预先生成相同的哈希密码。以下代码可以用于将密码保存为hashedPassord并验证输入的密码。它并不完整，但可以用作示例代码。

private static void savePassword(String rawPassword) throws InvalidKeySpecException, NoSuchAlgorithmException {
byte[] salt = getSalt();
String hashedPassword = getHashedPassword(rawPassword, salt);
String encodedSalt = base64Encode(salt);
/* todo: store hashPassword and encodedSalt */
}
private static boolean verifyPassword(String rawPassword, String hashedPassword, String encodedSalt) throws InvalidKeySpecException, NoSuchAlgorithmException {
return Objects.equals(hashedPassword, getHashedPassword(rawPassword, base64Decode(encodedSalt)));
}
private static String getHashedPassword(String rawPassword, byte[] salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
KeySpec spec = new PBEKeySpec(rawPassword.toCharArray(), salt, 65536, 128);
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
byte[] hash = factory.generateSecret(spec).getEncoded();
return base64Encode(hash);
}
private static byte[] getSalt() {
Random r = new SecureRandom();
byte[] saltBytes = new byte[32];
r.nextBytes(saltBytes);
return saltBytes;
}
private static String base64Encode(byte[] src) {
return Base64.getEncoder().encodeToString(src);
}
private static byte[] base64Decode(String src) {
return Base64.getDecoder().decode(src);
}

好的，这就是我所拥有的。我很想查找存储的密码，但我的老师在她的解决方案视频中没有这样做

public static String saltPassword(String password) throws NoSuchAlgorithmException{
String salt = getSalt();
return hashPassword(password + salt);
}
public static String getSalt(){
Random r = new SecureRandom();
byte[] saltBytes = new byte[32];
r.nextBytes(saltBytes);
return Base64.getEncoder().encodeToString(saltBytes);
}
public static String generatePassword(){
String charSet = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_-+!@#$%";
String password = "";
int start = 0;
int stop = 0;
int minLength = 8;
for (int i = 0; i <= minLength; i++) {
// get a random character from the chars string
start = getRandomNumber(charSet.length());
stop = start + 1;
password += charSet.substring(start, stop);
}        
return password;
}
private static int getRandomNumber(int maxValue){
double randomNumber;
randomNumber = Math.floor(Math.random() * maxValue);
return (int)randomNumber;
}
public static String hashPassword(String password)throws NoSuchAlgorithmException{
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(password.getBytes());
byte[] mdArray = md.digest();
StringBuilder sb = new StringBuilder(mdArray.length * 2);
for (byte b : mdArray){
int v = b & 0xff;
if(v < 16){
sb.append('0');
}
sb.append(Integer.toHexString(v));
}
return sb.toString();   
}

然后创建它，我要去

String newPassword = PasswordUtil.generatePassword();
String hashedPassword = "";
String saltedPassword = "";
try{
hashedPassword = PasswordUtil.hashPassword(newPassword);
}
catch(NoSuchAlgorithmException e){
System.out.println();
}
try{
saltedPassword = PasswordUtil.saltPassword(hashedPassword);
}
catch(NoSuchAlgorithmException e) {
System.out.println();
}

接下来会发生什么？

这是散列密码：

50f99d2a635cc9bac7e001506789b55a7c603d93c89d362cc5d95ab257fc2666

这是加了盐的杂碎

e954fbc2309cc359cd603effb6d0644947a3253110ad6c3b2416dd49168331a3

如何将salt与生成的密码进行比较？

我该怎么做才能将原始密码与此密码进行比较？

答案是，如果这些事情发生，你都不做。

要注册原始密码，请执行以下操作：

1. 获取盐¹
2. 将原始密码与salt组合
3. 哈希
4. 储存盐和土豆泥

然后丢弃原始密码。

要检查提供的密码，请执行以下操作：

1. 查找存储的哈希和注册时创建的相应salt；请参见上文
2. 按照与上面相同的方式组合提供的密码和salt
3. 如上所述对其进行哈希运算
4. 将生成的哈希与存储的哈希进行比较。如果它们相同，则提供的密码就是正确的密码

正如您所看到的，您不会将salt或原始密码与任何内容进行比较。

但是，在为原始密码和正在检查的密码生成哈希时，也必须使用相同的salt。如果不这样做，密码检查将不起作用。

---

^{1-盐只是一个数字或字符串。理想情况下，盐值应该不同。盐的目的是避免所谓的"；彩虹桌"；从被盗(未加盐(密码哈希中恢复原始密码的攻击。如果有一百万个可能的盐值，那么坏人需要生成一百万个不同的彩虹表。生成和存储许多彩虹表变得不切实际}