別再明文存密碼了！Spring Boot 實現密碼加密存儲的五種硬核方式

作者：編程疏影 2025-06-04 02:10:00

存儲存儲架構

在實際構建 Java Web 系統的過程中，用戶密碼的安全管理絕對不能馬虎。如果密碼被原樣寫入數據庫，那無異于把金庫大門敞開。本文將帶你深入了解 Spring Boot 中五種加密處理密碼的方案，每一種都能有效抵御密碼泄露帶來的風險。

為什么密碼絕不能明文保存？

在你動手寫入數據庫之前，請牢記以下三點理由：

防止泄露后“裸奔”數據庫一旦被攻破，用戶密碼一覽無余。
用戶賬號聯動風險很多人不同平臺用的是同一個密碼，一旦一個泄露，其它平臺也岌岌可危。
法律合規要求像 OWASP、GDPR 等都明確要求不能以明文存儲密碼。

密碼如何安全保存？五種方式送上

1、使用 BCrypt 進行密碼加密

核心特性：

內建加鹽機制，有效防止彩虹表攻擊；
可以設置加密強度；
哈希結果長度固定（60 字符），便于存儲。

依賴配置（如未引入 Spring Security）：

<!-- /src/main/resources/pom.xml -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>

加密與驗證實現：

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


public class PasswordUtils {
    private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();


    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }


    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}

測試代碼：

public static void main(String[] args) {
    String raw = "mypassword";
    String encoded = PasswordUtils.encode(raw);
    System.out.println("BCrypt加密后: " + encoded);
    System.out.println("是否匹配: " + PasswordUtils.matches(raw, encoded));
}

優劣分析：

? 安全性好，使用方便；
? 相比其他算法，加密速度稍慢。

2、借助 PBKDF2 增強密碼存儲

PBKDF2 通過多輪迭代和鹽值計算，進一步加大破解成本。

依賴保持一致：

<!-- /src/main/resources/pom.xml -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>

編碼實現：

import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;


public class PasswordUtils {
    private static final Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();


    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }


    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}

運行測試：

public static void main(String[] args) {
    String password = "mypassword";
    String hash = PasswordUtils.encode(password);
    System.out.println("PBKDF2加密后: " + hash);
    System.out.println("匹配結果: " + PasswordUtils.matches(password, hash));
}

優劣勢：

? 兼容性好，支持迭代配置；
? 設置相對復雜。

3、使用 Argon2 保護密碼（現代首選）

背景說明：Argon2 是密碼哈希競賽的冠軍，專為現代系統安全設計，是目前公認的最強哈希算法之一。

引入依賴：

<!-- /src/main/resources/pom.xml -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-crypto</artifactId>
</dependency>

核心代碼：

import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;


public class PasswordUtils {
    private static final Argon2PasswordEncoder encoder = new Argon2PasswordEncoder();


    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }


    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}

控制臺輸出測試：

public static void main(String[] args) {
    String pwd = "mypassword";
    String encoded = PasswordUtils.encode(pwd);
    System.out.println("Argon2加密后：" + encoded);
    System.out.println("匹配結果：" + PasswordUtils.matches(pwd, encoded));
}

分析：

? 安全性極高，能抵抗 GPU 暴力破解；
? 性能消耗大，部分舊設備不支持。

4、采用 SCrypt：內存型算法對抗硬件攻擊

SCrypt 的設計重點是通過占用大量內存來防御并行攻擊，尤其對抗顯卡加速的暴力嘗試非常有效。

代碼實現：

import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;


public class PasswordUtils {
    private static final SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();


    public static String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }


    public static boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}

驗證示例：

public static void main(String[] args) {
    String origin = "mypassword";
    String hash = PasswordUtils.encode(origin);
    System.out.println("SCrypt加密結果：" + hash);
    System.out.println("匹配情況：" + PasswordUtils.matches(origin, hash));
}

優缺點：

? 超強抗攻擊能力；
? 加密成本高，不適合性能敏感的系統。

5、手動實現 SHA-256 + 隨機鹽值

雖然 SHA-256 本身不夠安全，但通過加入 salt 和迭代處理可以提升保護能力。

手工實現加密邏輯：

import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;


public class PasswordUtils {


    public static String generateSalt() {
        byte[] salt = new byte[16];
        new SecureRandom().nextBytes(salt);
        return Base64.getEncoder().encodeToString(salt);
    }


    public static String hashPassword(String password, String salt) {
        try {
            MessageDigest digest = MessageDigest.getInstance("SHA-256");
            byte[] result = digest.digest((salt + password).getBytes());
            for (int i = 0; i < 1000; i++) {
                result = digest.digest(result);
            }
            return Base64.getEncoder().encodeToString(result);
        } catch (Exception e) {
            throw new RuntimeException("哈希失敗", e);
        }
    }


    public static boolean matches(String rawPassword, String salt, String hashedPassword) {
        return hashPassword(rawPassword, salt).equals(hashedPassword);
    }
}

測試程序：

public static void main(String[] args) {
    String pwd = "mypassword";
    String salt = PasswordUtils.generateSalt();
    String hashed = PasswordUtils.hashPassword(pwd, salt);


    System.out.println("生成鹽值: " + salt);
    System.out.println("SHA-256+Salt 加密: " + hashed);
    System.out.println("匹配情況: " + PasswordUtils.matches(pwd, salt, hashed));
}

總結分析：

? 實現簡單，適合與舊系統集成；
? 不抗彩虹表攻擊，必須管理好鹽值。

對比總結

方法	安全性	性能	適用情況
BCrypt	高	中	推薦用于通用系統
PBKDF2	高	中	適用于企業級復雜環境
Argon2	極高	較低	對安全性要求極高的應用
SCrypt	極高	較低	抵御硬件加速暴力破解
SHA-256 + Salt	中	高	安全性可控的內網系統或老舊系統

最佳實踐建議

? 普通場景首選：BCrypt 是性價比最優的方案；
?? 對安全性要求極致：請選擇 Argon2 或 SCrypt；
?? 兼容舊系統：可以考慮 SHA-256 + salt，但必須加上防御機制。

無需再存明文密碼，讓你的系統從此具備防彈級的安全加密體系！

責任編輯：武曉燕來源：路條編程

加密存儲系統

成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看