java中的SHA2密码散列

Question

我正在尝试使用 SHA2 对一些密码进行哈希处理。

我在哪里可以得到一段java代码来实现这一点？

我看过那个帖子，但我缺少一些东西： 使用 Java 进行 SHA2 密码存储

 Mac mac = Mac.getInstance("HmacSha256");
 SecretKeySpec secret = new SecretKeySpec(key.getBytes(), "HmacSha256");
 mac.init(secret);
 byte[] shaDigest = mac.doFinal(phrase.getBytes());
 String hash = "";
 for(byte b:shaDigest) {
     hash += String.format("%02x",b);
 }

该短语是我想要编码的字符串，对吧？关键是什么（第 2 行）

提前致谢

Answer 1

首先，你需要明确你想做什么。您说您想要对密码进行哈希处理，但您使用的代码适用于 MAC（消息身份验证代码），具体来说，HMAC。

哈希值和 MAC 是用于不同目的的不同事物（尽管 HMAC 确实涉及使用哈希值）。您需要确保您使用的是符合您要求的正确产品。

要求您提供密钥的原因是 MAC 需要密钥。哈希不会：

public byte[] hash(String password) throws NoSuchAlgorithmException {
    MessageDigest sha256 = MessageDigest.getInstance("SHA-256");        
    byte[] passBytes = password.getBytes();
    byte[] passHash = sha256.digest(passBytes);
    return passHash;
}

Answer 2

我修改了一点rossum的代码，添加了salt并将返回类型转换为String，添加了try/catch，也许这会对某人有所帮助：

    public String hash(String password) {
    try {
        MessageDigest sha256 = MessageDigest.getInstance("SHA-256");
        String salt = "some_random_salt";
        String passWithSalt = password + salt;
        byte[] passBytes = passWithSalt.getBytes();
        byte[] passHash = sha256.digest(passBytes);             
        StringBuilder sb = new StringBuilder();
        for(int i=0; i< passHash.length ;i++) {
            sb.append(Integer.toString((passHash[i] & 0xff) + 0x100, 16).substring(1));         
        }
        String generatedPassword = sb.toString();
        return generatedPassword;
    } catch (NoSuchAlgorithmException e) { e.printStackTrace(); }       
    return null;
}

Answer 3

您可以考虑使用 commons-codec 的实现

String hash = org.apache.commons.codec.digest.DigestUtils.sha256Hex(password +"salt");

Answer 4

短语是您要保护的密码。 key 是盐，是在散列之前附加到密码的唯一（且已知）字符串，以击败彩虹表。或者至少应该是。您的代码只是从密码本身获取它，这是毫无意义的。它应该是一个长随机字符串，与密码摘要一起存储。