java工具类学习,系统中用户密码加密总结

现在项目，用户注册登录部分很少有涉及到了，原因：现在热门开发框架都已经在底层帮我们做了一套用户注册，密码加密，登录认证，权限控制，缓存数据等基本功能。

这有利于项目的快速完成，只需要搬砖码畜们专注于业务逻辑，会利用底层的业务逻辑就行了。这些快速开发框架的出现，也降低了我们java行业的就业门槛，但这不利于我们个人的成长（个人竞争力的体现不能只是会写业务逻辑代码，需要的是拥有绝对的技术壁垒，你有我优，你无我有！）

实际过程中使用过md5和sha1消息摘要算法，也看别人用过spring security的BCryptPasswordEncoder

sha1算法介绍及代码：java学习-sha1散列算法

bit：比特或位

byte：字节

sha1消息摘要后得到的是byte[] bytes=new byte[20] ，即20字节长度，160位（20byte * 8=160）二进制长度，
　　40（20byte * 2=40，一个byte转为一个的十六进制）个十六进制字符串长度的数据

MD5算法介绍及代码：java学习-MD5消息摘要算法

MD5得到的是 128位，16字节长度， 32个十六进制字符串长度的数据。

BCryptPasswordEncoder

这个spring security的密码加密算法，对相同密码加密每次得到的加密字符串都是不一样的。
这个框架自定义hash加密方法。
源码好复杂：
1.生成指定长度的随机salt字节数组
2.对salt和password进行base64解码、字节数组截取等操作后将salt和password执行spring security自定义的加密算法。
3.将加密后的hash数据和其他数据进行一定的组合得到加密后的字符串

存在问题：

md5 和 sha1 两种散列算法，无论执行多少次，对同一个密码进行加密后的字符换都是一样的，这虽然加密的密码是不可逆的，但可以通过密码字典进行查找比对获得用户真正的密码。
如果是简单的密码，如123456 或 admin 这些很容易被人破解。

现在框架底层加密密码都是在 MD5 和 SHA-1 这两种算法的基础上进行改造。跟spring security的密码加密算法原理类似。

先随机生成一个salt，然后和用户的密码一起使用 md5 或者sha1 进行哈希获得加密字符串。

然后在将salt和加密后的字符换拼接组成加密密码字符串存储到数据库中。

这种改进方法有很多变化性，比如这个salt字符串的长度不确定性，可以由开发人员随意指定。还有这个 md5 或 sha1 哈希这个密码的次数。这个也可以由开发 指定。

这可以更有效的防止用户的密码被暴力破解。

最新总结的密码加密源码地址(不需要依赖第三方jar包)

https://gitee.com/zwh_9527/passwordUtil