首页 / JAVA / Java – 生成随机盐不是随机的

Java – 生成随机盐不是随机的

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了Java – 生成随机盐不是随机的,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2928字,纯文字阅读大概需要5分钟

内容图文

我正在尝试在Java中生成一个salt,以便使用散列算法进行安全密码存储.我正在使用以下代码创建随机盐:

private static String getSalt() throws NoSuchAlgorithmException {
    SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
    byte[] salt = new byte[16];
    sr.nextBytes(salt);
    System.out.println(salt.toString());
    return salt.toString();
}

这应该生成一个完全安全的,随机生成的盐,用于我的散列算法.然而,当我运行代码时,它每次都会输出相同的盐…表明生成的盐根本不是随机的.

出于明显的安全目的,每个用户都需要一个独特的盐,但是如果我每次创建一个新帐户时都使用此代码,那么每个用户将拥有相同的盐,从而无法实现首先使用它的目的.

我的问题是:为什么这会一直给我相同的盐,我该怎么做才能确保每次运行代码时生成的盐都是完全随机的?

编辑:

以为我会包含整个哈希程序的源代码,现在已经修复并正常工作.这是一个简单的原型,用于模拟在创建帐户时生成哈希值,然后在登录系统时检查密码.

package hashingwstest;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.Random;
import java.util.Scanner;


public class HashingWSTest {

    public static void main(String[] args) throws NoSuchAlgorithmException {
        Scanner sc = new Scanner(System.in);
        System.out.print("Enter Password: ");
        String passwordToHash = sc.nextLine();

        byte[] bytes = getBytes();
        String salt = new String(bytes);

        String securePassword = hash256(passwordToHash, salt);
        System.out.println("Hash successfully generated");

        System.out.print("Enter your password again: ");
        String checkPassword = sc.nextLine();
        String checkHash = hash256(checkPassword,salt);
        if (checkHash.equals(securePassword)) {
            System.out.println("MATCH");
        }
        else {
            System.out.println("NO MATCH");
        }
    }

    private static String hash256(String passwordToHash, String salt) {
        String generatedPassword = null;
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-256");
            md.update(salt.getBytes());
            byte[] bytes = md.digest(passwordToHash.getBytes());
            StringBuilder sb = new StringBuilder();

            for (int i=0; i<bytes.length; i++) {
                sb.append(Integer.toString((bytes[i] & 0xff) + 0x100, 16).substring(1));
            }
            generatedPassword = sb.toString();
        }
        catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return generatedPassword;
    }

    private static byte[] getBytes() throws NoSuchAlgorithmException {
        SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
        byte[] bytes = new byte[16];
        sr.nextBytes(bytes);
        return bytes;
    }
}

解决方法:

您正在打印字节数组本身,而不是其内容.您需要遍历数组以查看它包含的内容.

编辑:

还更改了getSalt以返回一个字节数组.返回从字节数组构造的String(使用新的String(salt))是不安全的,因为字节序列可能不会形成有效的String.

import java.security.*;

public class Salt {
    public static void main(String[] args) throws NoSuchAlgorithmException {
        getSalt();
    }
    private static byte[] getSalt() throws NoSuchAlgorithmException {
        SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
        byte[] salt = new byte[16];
        sr.nextBytes(salt);
        for(int i = 0; i<16; i++) {
            System.out.print(salt[i] & 0x00FF);
            System.out.print(" ");
        }
        return salt;
    }
}

内容总结

以上是互联网集市为您收集整理的Java – 生成随机盐不是随机的全部内容,希望文章能够帮你解决Java – 生成随机盐不是随机的所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/700236.html

来源:【匿名】