密码加密3种方法

Question

一方面我有： http://forums.enterprisdb.com/posts/list/2481.page 这里我们将字段声明为 BYTEA，我们可以解密它，加密是在数据库级别的。

另一边： https://www.owasp.org/index.php/Hashing_Java 此处为 varchar，我们仅比较哈希值以进行授权。

最后 Spring 给出 http://static.springsource.org/spring-security/site/docs/3.1.x/apidocs/org/springframework/security/crypto/password/StandardPasswordEncoder.html + 每个密码应用的字符秘密值都相同吗？

哪种方法是最好的？ （我倾向于 Spring，因为据我了解，它在几行代码中封装了与 OWASP 类似的逻辑？）

Answer 1

PostgreSQL 编码：

• 您的应用程序可能会依赖于 PostgreSQL，如果您想将其与另一个 DBMS 一起使用，也许您必须重写这部分。
• 如果 PostgreSQL 在另一台机器上，您应该考虑在应用程序和 DBMS 之间使用某种形式的安全通信，因为密码在它们之间以纯文本形式传输。

OWASP 与 Spring：

• 它们非常相似。
• 两者都使用盐。
• Spring 使用一个秘密（Owasp 没有）。
• 当然，如果您需要的话，您可以修改 Owasp 以使用机密，或者您可以使用没有机密的 StandardPasswordEncoder 。
• Spring 的 encode() 仅返回一个也包含 salt 的字符串（在 unix/linux 中通常如此），而 Owasp 需要一个附加的数据库属性来存储 salt 值。
• Spring 比 2008 年的 Owasp 网络文章更简单，而且可能维护得更好。Owasp
• 混合了多种功能：它对密码进行编码/检查，并且还包含大量 JDBC 代码。
• Spring 只是对密码进行编码/检查，而您的责任是密码存储。但也许你的框架会为你做到这一点，或者你可以自己编写它。

我会使用StandardPasswordEncoder。它更简单，并且与 Owasp 的功能相同。