                        課程
                    
                        /后端開發(fā)
                        
                            /Java
                        
                        /Shiro安全框架入門

密碼加鹽問題

從數(shù)據(jù)庫中取到的password已經(jīng)加了鹽了，可是這行代碼還需要加鹽嘛？??求解釋一下這行代碼的意思
authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes("Mark"));

qq_骳遺莣啲莪_0

2018-11-13

源自：Shiro安全框架入門 3-6

關(guān)注問題我要回答

2247

操作

收起

4 回答

慕婉清秋
2021-05-13

這一句是對用戶輸入的密碼加密的，不是對從數(shù)據(jù)庫中獲取的密碼加密的。這么做是為了和數(shù)據(jù)庫的密碼比對用的，使用相同的加密規(guī)則才會獲得相同的加密結(jié)果，否則校驗永遠是不通過的。

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

零點零一零
2020-05-01

加鹽后密碼的復(fù)雜度高了，密文不好碰撞

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

后生咱是無名鼠輩
2019-01-06

麻煩問下，這一步加鹽和不加有什么不同嗎，數(shù)據(jù)庫存的是密碼和鹽加密的密文，用戶輸入的是密碼，后臺設(shè)置的鹽值是固定的，和不加鹽有什么區(qū)別呢

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

MartinKay

當(dāng)然有區(qū)別，在別人不知道你鹽設(shè)置的是什么情況下，有些人或許認(rèn)為你沒設(shè)置鹽，黑客對你的站點感興趣，則會使用暴力破解的方式來試出你用戶中最弱的密碼，正好那個用戶賬戶上有錢，就會有意想不到的后果。但是暴力破解去碰撞密文時，在不知道有鹽或鹽是什么的情況下，是永遠不可能被碰撞成功的

2019-02-26 回復(fù) 有任何疑惑可以回復(fù)我~

#2

慕標(biāo)1154530

人家視頻都說了，鹽是一個隨機數(shù)，他這里為了簡便直接弄了個固定值給你演示一下。你用UUID當(dāng)做鹽，然后就可以了。

2019-03-09 回復(fù) 有任何疑惑可以回復(fù)我~