加盐的算法有很多,考虑到加盐的目的(防止拥有系统底层权限的人员),想做到绝对不可反查是很困难的,需要有其他软件或者硬件的协助,在很多场景下的实用性比较差。如果只是想增加反查的难度,倒是有很多方法可以选择,一种便利的方法是md5(Password+UserName),即将用户名和密码字符串相加再MD5,这样的MD5摘要基本上不可反查。但有时候用户名可能会发生变化,发生变化后密码即不可用了(验证密码实际上就是再次计算摘要的过程)。
因此我们做了一个非常简单的算法,每次保存密码到数据库时,都生成一个随机16位数字,将这16位数字和密码相加再求MD5摘要,然后在摘要中再将这16位数字按规则掺入形成一个48位的字符串。在验证密码时再从48位字符串中按规则提取16位数字,和用户输入的密码相加再MD5。按照这种方法形成的结果肯定是不同反查的,且同一个密码每次保存时形成的摘要也都是不同的。如以下代码所示:
/** * 生成含有随机盐的密码 */ public static String generate(String password) { String salt = StringUtil.leftPad(String.valueOf(NumberUtil.getRandomInt(99999999)), '0', 8) + StringUtil.leftPad(String.valueOf(NumberUtil.getRandomInt(99999999)), '0', 8); password = StringUtil.md5Hex(password + salt); char[] cs1 = password.toCharArray(); char[] cs2 = salt.toCharArray(); char[] cs = new char[48]; for (int i = 0; i < 48; i += 3) { cs[i] = cs1[i / 3 * 2]; cs[i + 1] = cs2[i / 3]; cs[i + 2] = cs1[i / 3 * 2 + 1]; } return new String(cs); } /** * 校验密码是否正确 */ public static boolean verify(String password, String md5) { char[] cs = md5.toCharArray(); char[] cs1 = new char[32]; char[] cs2 = new char[16]; for (int i = 0; i < 48; i += 3) { cs1[i / 3 * 2] = cs[i]; cs1[i / 3 * 2 + 1] = cs[i + 2]; cs2[i / 3] = cs[i + 1]; } String salt = new String(cs2); return StringUtil.md5Hex(password + salt).equals(new String(cs1)); }