我将用户密码存储在db上作为sha1哈希。
不幸的是我得到了奇怪的答案。
我将字符串存储为:
MessageDigest cript = MessageDigest.getInstance("SHA-1");
cript.reset();
cript.update(userPass.getBytes("utf8"));
this.password = new String(cript.digest());
我想要这样的东西 - >
aff - > “0c05aa56405c447e6678b7f3127febde5c3a9238”
而不是
aff - > V□的\ d〜FX:8
答案 0 :(得分:102)
使用apache通用编解码器库:
DigestUtils.sha1Hex("aff")
结果是0c05aa56405c447e6678b7f3127febde5c3a9238
就是这样:))
答案 1 :(得分:40)
这种情况正在发生,因为cript.digest()返回一个字节数组,您尝试将其打印为字符串。您想将其转换为可打印的十六进制字符串。
简单的解决方案:使用Apache的commons-codec library:
String password = new String(Hex.encodeHex(cript.digest()),
CharSet.forName("UTF-8"));
答案 2 :(得分:24)
哈希算法的一次迭代不安全。它太快了。您需要多次迭代哈希来执行密钥加强。
此外,您没有使用密码。这会对预先计算的词典造成漏洞,例如“彩虹表”。
您可以使用内置于Java运行时的代码,而不是尝试使用自己的代码(或使用一些粗略的第三方膨胀软件)来正确执行此操作。有关详细信息,请参阅this answer。
正确散列密码后,您将拥有byte[]。将此转换为十六进制String的简单方法是使用BigInteger类:
String passwordHash = new BigInteger(1, cript.digest()).toString(16);
如果你想确保你的字符串总是有40个字符,你可能需要在左边做一些带有零的填充(你可以用String.format()执行此操作。)
答案 3 :(得分:10)
如果您不想为项目添加任何额外的依赖项,您也可以使用
MessageDigest digest = MessageDigest.getInstance("SHA-1");
digest.update(message.getBytes("utf8"));
byte[] digestBytes = digest.digest();
String digestStr = javax.xml.bind.DatatypeConverter.printHexBinary(digestBytes);
答案 4 :(得分:5)
crypt.digest()方法返回一个byte []。此字节数组是正确的SHA-1总和,但加密哈希值通常以十六进制形式显示给人。哈希中的每个字节将产生两个十六进制数字。
要将字节安全地转换为十六进制,请使用:
// %1$ == arg 1
// 02 == pad with 0's
// x == convert to hex
String hex = String.format("%1$02x", byteValue);
This code snippet can be used for converting a char to hex:
/*
* Copyright (c) 1995, 2008, Oracle and/or its affiliates. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
*
* - Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
*
* - Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
*
* - Neither the name of Oracle or the names of its
* contributors may be used to endorse or promote products derived
* from this software without specific prior written permission.
*
* THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
* IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
* THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
* PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR
* CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
* EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
* PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
* PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
* LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
* NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
* SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
import java.io.*;
public class UnicodeFormatter {
static public String byteToHex(byte b) {
// Returns hex String representation of byte b
char hexDigit[] = {
'0', '1', '2', '3', '4', '5', '6', '7',
'8', '9', 'a', 'b', 'c', 'd', 'e', 'f'
};
char[] array = { hexDigit[(b >> 4) & 0x0f], hexDigit[b & 0x0f] };
return new String(array);
}
static public String charToHex(char c) {
// Returns hex String representation of char c
byte hi = (byte) (c >>> 8);
byte lo = (byte) (c & 0xff);
return byteToHex(hi) + byteToHex(lo);
}
}
请注意,在Java中使用字节非常容易出错。我会仔细检查一切并测试一些奇怪的情况。
另外你应该考虑使用比SHA-1更强的东西。 http://csrc.nist.gov/groups/ST/hash/statement.html
答案 5 :(得分:2)
如果你使用Spring很简单:
MessageDigestPasswordEncoder encoder = new MessageDigestPasswordEncoder("SHA-1");
String hash = encoder.encodePassword(password, "salt goes here");
答案 6 :(得分:2)
在存储不可逆的密码时,不仅仅是简单的标准哈希算法。
有关详细信息,请参阅例如
您还可以使用http://en.wikipedia.org/wiki/Password-authenticated_key_agreement方法来避免以明文形式将密码传递给服务器。
答案 7 :(得分:2)
您可以使用Google Guava:
的Maven:
<dependency>
<artifactId>guava</artifactId>
<groupId>com.google.guava</groupId>
<version>14.0.1</version>
</dependency>
样品:
HashCode hashCode = Hashing.sha1().newHasher()
.putString(password, Charsets.UTF_8)
.hash();
String hash = BaseEncoding.base16().lowerCase().encode(hashCode.asBytes());
答案 8 :(得分:1)
要使用UTF-8,请执行以下操作:
userPass.getBytes("UTF-8");
<击> 要从摘要中获取Base64字符串,您可以执行以下操作:
this.password = new BASE64Encoder().encode(cript.digest());
<击>
由于MessageDigest.digest()返回一个字节数组,你可以使用Apache的Hex Encoding(更简单)将其转换为String。
E.g。
this.password = Hex.encodeHexString(cript.digest());
答案 9 :(得分:1)
digest()返回一个字节数组,您将使用默认编码将其转换为字符串。你想要做的是base64编码。
答案 10 :(得分:1)
如何将byte []转换为base64字符串?
byte[] chkSumBytArr = digest.digest();
BASE64Encoder encoder = new BASE64Encoder();
String base64CheckSum = encoder.encode(chkSumBytArr);
答案 11 :(得分:1)
您也可以使用此代码(来自crackstation.net):
private static String toHex(byte[] array)
{
BigInteger bi = new BigInteger(1, array);
String hex = bi.toString(16);
int paddingLength = (array.length * 2) - hex.length();
if(paddingLength > 0)
return String.format("%0" + paddingLength + "d", 0) + hex;
else
return hex;
}
答案 12 :(得分:1)
MessageDigest messageDigest = MessageDigest.getInstance("SHA-1");
messageDigest.reset();
messageDigest.update(password.getBytes("UTF-8"));
String sha1String = new BigInteger(1, messageDigest.digest()).toString(16);
答案 13 :(得分:1)
echo -n“ aff” | sha1sum产生正确的输出(默认情况下,echo插入换行符)
答案 14 :(得分:0)
您需要首先对结果进行十六进制编码。 MessageDigest返回“原始”哈希,而不是人类可读的哈希。
编辑:
@thejh提供了一个应该有效的代码链接。就个人而言,我建议使用Bouncycastle或Apache Commons Codec来完成这项工作。如果您想进行任何其他与加密相关的操作,Bouncycastle会很好。