结合使用BCrypt和char []
大约几个小时前,我在Stack Overflow上询问了有关如何将char []转换为MD5哈希的方法。
Neil Smithline建议我使用BCrypt,但不能将其与char []一起使用。
我使用char []来存储从登录表单中检索到的密码的原因是因为.getPassword()仅支持char []。
char[] passwordChars = passwordInputField.getPassword();
String hashed = BCrypt.hashpw(passwordChars, BCrypt.gensalt(12));
当前,我正在尝试使用上面的代码生成哈希,但是由于变量passwordCars的类型为char [],因此不支持 BCrypt.haspw()
现在,我不使用常规字符串的唯一原因是无法从内存中清除它。
我现在的问题是-是否可以将BC []与char []一起使用?
提前致谢!
问题答案:
我发现的两个Java bcrypt隐式实现都将String作为输入。如您所知,将密码放入字符串中会使您容易受到内存攻击。
您可以使用PBKDF2以及bcrypt。两者都被认为是一流的。这里和这里都有PBKDF2 Java代码示例。两者都允许将a传递char[]给函数。
为了回答注释中的隐式问题,您不使用MD5或任何哈希的原因是它们太快了。使用特殊硬件可以强行强制使用密码。Bcrypt和PBKDF2设计得很慢。
即使您要使用哈希(我建议您反对),也必须对其加盐。逆转未加盐的密码哈希很简单(请参阅此工具)。
该CrackStation的基准上的密码存储是一个很好的一般参考。
-
问题内容: Node.js非常适合我们的Web项目,但是很少有需要Python的计算任务。我们已经为他们准备了Python代码。我们非常关心速度,如何以异步非阻塞方式从node.js调用Python“工人”的最优雅方法是什么? 问题答案: 对于node.js和Python服务器之间的通信,如果两个进程都在同一服务器上运行,则我将使用Unix套接字,否则将使用TCP / IP套接字。对于封送处理协议
-
问题内容: 我正在尝试在我的应用程序中通过turbolinks使用Angularjs框架。页面更改后,请勿初始化新的事件监听器。有什么办法可以使其工作吗?提前致谢! 问题答案: AngularJS与Turbolinks Turbolink 和 AnguluarJS 都可以用来使Web应用程序更快地响应,在某种意义上,响应用户交互,网页上发生了某些事情,而无需重新加载和重新呈现整个页面。 它们在以下
-
问题内容: 我希望能够在具有许多s的复杂SQL查询中使用PostgreSQL中的函数。这是查询示例: 我想在这里删除该表,因为我的表具有一个名为 taglist* 的 整数数组 字段,该字段由所有链接的tag id组成。 * 我尝试了以下操作: 此方法有效,但带来的结果与第一个查询不同。 所以我要做的是在查询中使用的结果来补偿表。 我怎样才能做到这一点? UPDATE: 与提及的标记ID的列表相同
-
问题内容: 我正在尝试遵循Elasticsearch 5官方文档来设置传输客户端: https://www.elastic.co/guide/zh-CN/elasticsearch/client/java- api/5.0/transport- client.html 但是,使用包org.elasticsearch:elasticsearch:5.0.0-rc1时,类PreBuiltTranspo
-
问题内容: 选择下拉列表选项时,有什么方法可以刷新页面的某些部分(例如div / span)?请注意,我使用的是razor语法。 如果是,那么请提供一些示例代码。 问题答案: 是的,您可以订阅活动。 可能是这样(真实示例): 然后具有此javascript函数(或类似功能) 编辑:此示例假设您使用的是非侵入式验证(因此使用jQuery),并且想要提交表单,但是显然您可以为onchange事件调用任
-
问题内容: 我在这里尝试遵循John Papa的angularJS样式指南,并已开始将我的指令切换为使用controllerAs。但是,这不起作用。我的模板似乎无法访问分配给vm的任何内容。请参见这个非常简单的plnkr示例,该示例展示了该行为。 http://plnkr.co/edit/bVl1TcxlZLZ7oPCbk8sk?p=preview 问题答案: 当使用controllerAs语法时