锁定老帖子 主题:java密码问题处理
精华帖 (0) :: 良好帖 (0) :: 新手帖 (4) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2009-02-02
在平时的开发中,通常涉及一些私密字段的保存 如用户密码等,这些字段不应把明文直接保存到数据库,如果这样万一管理员的人品出现了问题 用户资料的安全性就很难保证了;因此毫无疑问,数据库中应该 保存这些字段的密文形式,而且加密的算法应该是不可逆的,这样即使别人能获得密文和源代码 也无法得到用户密码的明文!在这里我的做法如下 :
1 在数据库中(oracle中)建立一个表,建表语句如下 建表语句
2 java代码中实体bean代码如下
3 3加密算法的实现
4 用hibernate,ibatis等进行对象持久化(省略),即把实体bean对象保存到数据库
声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
发表时间:2009-02-02
楼主有没有想如果A用户和B用户密码一样的话, 所得到的密文就是一样的。
这样所谓的攻击者就可以注册一个用户, 密码是A, 然后到数据库, 复制这个用户的密码复盖其它用户的密码, 其它用户的密码就变成了A。 因为注意的用户名大部分的系统是不准改变的, 所以 最终密文 == HASH(密码明文, 用户名) |
|
返回顶楼 | |
发表时间:2009-02-02
呵呵有道理!!
|
|
返回顶楼 | |
发表时间:2009-02-02
最后修改:2009-02-02
正如xiaoyu说的,最好加上个salt
|
|
返回顶楼 | |
发表时间:2009-02-02
这确实是一个问题,请问xiaoyu应该如何做啊???
|
|
返回顶楼 | |
发表时间:2009-02-02
学习了,看了二楼的提问,思考后感觉确实要加个用户名,想想方法应该和原来的一样,只是吧input的字符串变成了用户名+密码
|
|
返回顶楼 | |
发表时间:2009-02-02
基本上明白二楼的意思,谢谢 了
|
|
返回顶楼 | |
发表时间:2009-02-02
用户名加密码也没用啊。。 一样的!
如果说管理员有操作数据库的权限,那你做任何安全都是没意义的。 |
|
返回顶楼 | |
发表时间:2009-02-02
不错的帖子
|
|
返回顶楼 | |
发表时间:2009-02-02
thevone119 写道 用户名加密码也没用啊。。 一样的!
如果说管理员有操作数据库的权限,那你做任何安全都是没意义的。 也对,有了权限以后什么都可以改了 就看那个管理有够不够聪明 最好的办法就是不给某些权限 |
|
返回顶楼 | |
浏览 2429 次