从MySQL数据库存储和检索salt

问题描述 投票:1回答:1

我有一个PasswordEncryptionService,我在那里哈希我的密码,并将它们与用于哈希的盐一起保存在我的MySQL数据库中。我将我的密码和我的Salt保存为字节数组,我听说我可以将它们保存为SQL数据库中的varbinary类型。

这是我的代码:

 //this method is used to retrieve the salt when a user is logging in 
 public static byte[] getSaltMethod(String username, String password) throws SQLException, LoginSampleException {

    try {

        Connection con = Connector.connection();

        String SQL = "SELECT * from Users.Salt WHERE email = ?, password = ?";

        PreparedStatement statement = con.prepareStatement(SQL);
        statement.setString(1, username);
        statement.setString(2, password);

        ResultSet set = statement.executeQuery();

        while (set.next()) {

            // vi skal ikke have en blolb her alligevel
            byte[] salt = set.getBytes("salt");
            //release the blob and free up memory. (since JDBC 4.0)
            /* jeg er i tivil om denne skal være her*/

            return salt;

        }

    } catch (SQLException ex) {
        Conf.MYLOGGER.log(Level.SEVERE, null, ex);
        throw new LoginSampleException(ex.getSQLState());
    }
    return null;

}



//this method is used to save the user along with the salt when a user is signing up

 public static void createUser(User user) throws LoginSampleException, NoSuchAlgorithmException 
{
    try {
        PasswordEncryptionService PE = new PasswordEncryptionService();
        byte[] salt = PE.generateSalt();
        Connection con = Connector.connection();
        String SQL = "INSERT INTO Users (email, password, phone, post, adress, role, salt) VALUES (?, ?, ?, ?, ?, ?, ?)";
        PreparedStatement ps = con.prepareStatement(SQL, Statement.RETURN_GENERATED_KEYS);
        ps.setString(1, user.getEmail());
        ps.setString(2, user.getPassword());
        ps.setString(3, user.getPhonenumber());
        ps.setString(4, user.getPostalCode());
        ps.setString(5, user.getAddress());
        ps.setString(6, user.getRole());
        ps.setBytes(7, salt);
        ps.executeUpdate();
        ResultSet ids = ps.getGeneratedKeys();
        ids.next();
        int id = ids.getInt(1);
        user.setId(id);
    } catch (SQLException ex) {
        throw new LoginSampleException(ex.getMessage());
    }
}

现在我有一个单独的方法来检索盐,并登录该人,我应该将盐保存在不同的表中,还是可以保存在用户对象中?我应该将其保存为varbinary还是仅保存为常规varchar?

java sql salt
1个回答
1
投票

如果这是家庭作业,那么您可以将它们保存为varchar或二进制文件。无论哪位老师都很高兴。

现在,为了制作,我把哈希保存为binaryvarchar,我(个人)更喜欢二进制。作为二进制文件,我将它们保存为单个(连接)列,或者保存为两个单独的列(salt和hash)。

varchar的好处:

  • 它可以轻松调试,备份,打印,比较以备不时之需。
  • 连接它很容易分开它的各个部分。所有字符串函数都可用。
  • 即使是最绿色的开发人员也了解如何管理(连接,子串等)字符串。

binary的好处:

  • 无需在字符串到字节[]之间来回编码。 Base64或hexa编码需要更多编码或使用非标准库。
  • 许多开发人员不熟悉[var]binaryblob数据类型列。
  • 许多SQL工具都不能很好地显示二进制列,这使得它更难以被破坏,或只是检查它做了正确的事情。

除此之外,我更喜欢[var]binary,因为它更少java编码。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.