java)でのSHA2パスワードハッシュ
SHA2でいくつかのパスワードをハッシュしようとしています。
Javaコードを作成するためのスニペットはどこで入手できますか?
私はその投稿を見ましたが、何か足りないものがあります: JavaでのSHA2パスワードストレージ
Mac mac = Mac.getInstance("HmacSha256");
SecretKeySpec secret = new SecretKeySpec(key.getBytes(), "HmacSha256");
mac.init(secret);
byte[] shaDigest = mac.doFinal(phrase.getBytes());
String hash = "";
for(byte b:shaDigest) {
hash += String.format("%02x",b);
}
フレーズは私が正しくエンコードしたい文字列ですか?そして、鍵は何ですか(2行目)
前もって感謝します
まず、何をしたいのかを明確にする必要があります。パスワードをハッシュしたいと言いますが、使用しているコードはMAC用です( メッセージ認証コード )、具体的には [〜#〜] hmac [〜#〜] 。
ハッシュとMACは、目的によって異なります(ただし、HMACにはハッシュの使用が含まれます)。要件に合ったものを使用していることを確認する必要があります。
キーの提供を求められる理由は、MACにキーが必要なためです。ハッシュはしません:
public byte[] hash(String password) throws NoSuchAlgorithmException {
MessageDigest sha256 = MessageDigest.getInstance("SHA-256");
byte[] passBytes = password.getBytes();
byte[] passHash = sha256.digest(passBytes);
return passHash;
}
私は少しロッサムのコードを変更し、ソルトを追加し、戻り型を文字列に変換し、try/catchを追加しました、多分それは誰かに役立つでしょう:
public String hash(String password) {
try {
MessageDigest sha256 = MessageDigest.getInstance("SHA-256");
String salt = "some_random_salt";
String passWithSalt = password + salt;
byte[] passBytes = passWithSalt.getBytes();
byte[] passHash = sha256.digest(passBytes);
StringBuilder sb = new StringBuilder();
for(int i=0; i< passHash.length ;i++) {
sb.append(Integer.toString((passHash[i] & 0xff) + 0x100, 16).substring(1));
}
String generatedPassword = sb.toString();
return generatedPassword;
} catch (NoSuchAlgorithmException e) { e.printStackTrace(); }
return null;
}
commons-codecの実装の使用を検討してください
String hash = org.Apache.commons.codec.digest.DigestUtils.sha256Hex(password +"salt");
フレーズは、保護しようとしているパスワードになります。 keyは、レインボーテーブルを無効にするために、ハッシュの前にパスワードに追加される一意の(既知の)文字列であるsaltです。または、少なくともそうあるべきです。あなたのコードはパスワード自体からそれを取っているだけで、それはちょっと無意味です。パスワードダイジェストと一緒に保存される長いランダムな文字列である必要があります。