BCrypt加密

Bcrypt是单向Hash加密算法,而且经过salt和cost的处理,不可反向破解生成明文。使其受rainbow攻击破解的概率大大降低,同时破解的难度也提升不少。

一、BCrypt代码使用

1 public class BCryptTest {
2     public static void main(String[] args) {
3         String pwd = "123456";
4         String encodePwd = BCrypt.hashpw(pwd, BCrypt.gensalt()); // 加密
5         System.out.println(encodePwd);
6         boolean flag = BCrypt.checkpw(pwd, encodePwd); // 校验
7         System.out.println(flag);
8     }
9 }

输出:

$2a$10$EKXOFOjn2Bve3t45194KkOdzGzywmeRw3yeekVf.YeURs2Z4.IaHi
true

 

二、BCrypt加密原理

BCrypt有四个变量:

  1. saltRounds: 正数,代表hash杂凑次数,数值越高越安全,默认10次。
  2. myPassword: 明文密码字符串。
  3. salt: 盐,一个128bits随机字符串,22字符
  4. myHash: 经过明文密码password和盐salt进行hash,个人的理解是默认10次下 ,循环加盐hash10次,得到myHash

每次明文字符串myPassword过来,就通过10次循环加盐salt加密后得到myHash, 然后拼接BCrypt版本号+salt盐+myHash等到最终的bcrypt密码 ,存入数据库中。
这样同一个密码,每次登录都可以根据自省业务需要生成不同的myHash, myHash中包含了版本和salt,存入数据库。
例如BCrypt密码图解:

 

 

三、BCrypt解密原理

在加密的时候,先随机获取salt,然后跟password进行hash。在下一次校验的时候,从hash中取出salt,salt跟password进行hash,得到的结果跟保存在在数据库的hash进行比较。

 

posted @ 2020-07-23 10:35  UniqueColor  阅读(1937)  评论(0编辑  收藏  举报