使用Spring / Hibernate进行密码加密 – Jasypt还是其他什么？

Java已经为您提供了所有必需的库。 只需创建一个实用程序方法，使用OWASP中描述的盐实现散列。

如果您真的不想拥有该代码并且不介意额外的依赖，那么Shiro库（以前称为JSecurity ）似乎可以实现 OWASP所描述的内容。

它看起来像你提到的JASYPT库有类似的实用程序 。

我意识到这个答案并未提及Spring或Hibernate，但我不清楚你希望如何在这种情况下使用它们。

您可以使用Jasypt with Hibernate来动态加密或散列您的属性，如果这就是您正在寻找的内容。 使用JCE计算摘要（散列）的实际算法非常简单，如果你想自己滚动它也是如此。

虽然MD5现在可以破解，但MD5或SHA-256会没问题。

也许我误解了这个问题，但它应该只是比较哈希密码。

在hibernate中，只需存储为String。 在validation方面，有一个方法，如：

public validate(String user, String pass) { if(getUser(user).getPass().equals(getHash(pass))) return true; return false; } 

似乎没有Hibernate使用Jasypt的特定方法，但您可以在Spring中设置密码加密器：

之后，调用context.getBean（“passwordEncryptor”）来获取加密器，然后调用encryptPassword（）或checkPassword（）。

如果您在应用程序中使用Spring，那么您也可以使用Spring Security ，它为您提供了多个密码编码器，即ShaPasswordEncoder您可以在StackOverflow上找到它

我只是使用类似于SHA-256(username + ":" + password + ":" + salt) ，并将其存储在一个名为passwd的64个字符的数据库中。

维基百科说，与盐有关：“盐数据使使用字典条目预加密的字典攻击变得复杂：使用的每一点盐都会使所需的存储量和计算量增加一倍……为了最好的安全性，盐值保密，与密码数据库分开。当数据库被盗时，这提供了一个优势，但盐却没有。“

因此，要进行身份validation，请使用提供的用户名从数据库获取用户，然后使用通过登录尝试提供的密码生成相同的哈希值，并与数据库中的密码进行比较。 还为登录尝试添加一些速率限制（例如，每5分钟5次）。 如果用户忘记了密码，请不要通过电子邮件向他们发送密码（因为您不会存储密码），也不会通过电子邮件向他们发送新生成的密码，但是通过电子邮件向他们发送一个链接，用更改密码密钥/ nonce / salt更改密码您可以检查的URL。