密码加密3种方法
在一边,我有:http://forums.enterprisedb.com/posts/list/2481.page,这里我们声明字段为BYTEA,我们可以解密它,并且加密是在db级别的。
另一方面:https://www.owasp.org/index.php/Hashing_Java在这里是varchar,我们只比较要授权的散列。
最后,Spring给出了http://static.springsource.org/spring-security/site/docs/3.1.x/apidocs/org/springframework/security/crypto/password/StandardPasswordEncoder.html + char的秘密值,每个密码都是一样的吗?
哪种方法是最好的?(我倾向于Spring,因为据我所知,它在几行代码中封装了与OWASP类似的逻辑?)
回答 1
Stack Overflow用户
发布于 2011-10-17 03:07:52
PostgreSQL编码:
- 你的应用程序可能会依赖于PostgreSQL,如果你想在另一个数据库管理系统中使用它,也许你必须重写这一部分。
- 如果PostgreSQL在另一台计算机上,则应考虑在应用程序和数据库管理系统之间使用某种形式的安全通信,因为密码是以纯文本形式在它们之间传输的。
OWASP vs Spring:
,
- ,它们非常相似。
- 都使用salt。
- 使用密钥(Owasp不使用)。当然,如果您需要的话,您可以修改Owasp以使用密钥,或者您可以使用不带salt的
StandardPasswordEncoder。encode()也只返回一个包含salt的字符串(在unix/linux中通常如此),而Owasp需要为salt添加额外的数据库属性。
更简单,而且可能比2008年的Owasp web文章维护得更好。Owasp混合功能:它
- Spring只对密码进行编码/检查,您的职责就是存储密码。也许你的框架能帮你做到这一点,或者你也可以自己写。
我会使用StandardPasswordEncoder。它更简单,功能与Owasp相同。
https://stackoverflow.com/questions/7779523
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号