這是一個(gè)挺有意思的面試題，挺簡(jiǎn)單的，不知道大家平時(shí)在重置密碼的時(shí)候有沒(méi)有想過(guò)這個(gè)問(wèn)題。回答這個(gè)問(wèn)題其實(shí)就一句話：因?yàn)榉?wù)端也不知道你的原密碼是什么。如果知道的話，那就是嚴(yán)重的安全風(fēng)險(xiǎn)問(wèn)題了。

重置帳號(hào)密碼

我們這里來(lái)簡(jiǎn)單分析一下。

做過(guò)開(kāi)發(fā)的應(yīng)該都知道，服務(wù)端在保存密碼到數(shù)據(jù)庫(kù)的時(shí)候，絕對(duì)不能直接明文存儲(chǔ)。如果明文存儲(chǔ)的話，風(fēng)險(xiǎn)太大，且不說(shuō)數(shù)據(jù)庫(kù)的數(shù)據(jù)有被盜的風(fēng)險(xiǎn)，如果被服務(wù)端的相關(guān)人員特別是有數(shù)據(jù)庫(kù)權(quán)限的惡意利用，那將是不可預(yù)估的風(fēng)險(xiǎn)。

一般情況下，我們都是通過(guò)哈希算法來(lái)加密密碼并保存（嚴(yán)格上來(lái)說(shuō)，哈希算法不屬于加密算法，只是可以用到某些加密場(chǎng)景中）。

哈希算法也叫散列函數(shù)或摘要算法，它的作用是對(duì)任意長(zhǎng)度的數(shù)據(jù)生成一個(gè)固定長(zhǎng)度的唯一標(biāo)識(shí)，也叫哈希值、散列值或消息摘要（后文統(tǒng)稱為哈希值）。

哈希算法效果演示

哈希算法可以簡(jiǎn)單分為兩類：

1. 加密哈希算法：安全性較高的哈希算法，它可以提供一定的數(shù)據(jù)完整性保護(hù)和數(shù)據(jù)防篡改能力，能夠抵御一定的攻擊手段，安全性相對(duì)較高，但性能較差，適用于對(duì)安全性要求較高的場(chǎng)景。例如 SHA2、SHA3、SM3、RIPEMD-160、BLAKE2、SipHash 等等。
2. 非加密哈希算法：安全性相對(duì)較低的哈希算法，易受到暴力破解、沖突攻擊等攻擊手段的影響，但性能較高，適用于對(duì)安全性沒(méi)有要求的業(yè)務(wù)場(chǎng)景。例如 CRC32、MurMurHash3、SipHash 等等。

除了這兩種之外，還有一些特殊的哈希算法，例如安全性更高的慢哈希算法。

目前，比較常用的是通過(guò) MD5 + Salt 的方式來(lái)加密密碼。鹽（Salt）在密碼學(xué)中，是指通過(guò)在密碼任意固定位置插入特定的字符串，讓哈希后的結(jié)果和使用原始密碼的哈希結(jié)果不相符，這種過(guò)程稱之為“加鹽”。

不過(guò)，這種方式已經(jīng)不被推薦，因?yàn)?MD5 算法的安全性較低，抗碰撞性差。你可以使用安全性較高的加密哈希算法+ Salt（鹽）（例如 SHA2、SHA3、SM3，更高的安全性更強(qiáng)的抗碰撞性）或者直接使用慢哈希（例如 Bcrypt，更推薦這種方式）。

假如我們這里使用  SHA-256 + Salt 這種方式。

這里寫了一個(gè)簡(jiǎn)單的示例代碼：

String password = "123456";
String salt = "1abd1c";
// 創(chuàng)建SHA-256摘要對(duì)象
MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
messageDigest.update((password + salt).getBytes());
// 計(jì)算哈希值
byte[] result = messageDigest.digest();
// 將哈希值轉(zhuǎn)換為十六進(jìn)制字符串
String hexString = new HexBinaryAdapter().marshal(result);
System.out.println("Original String: " + password);
System.out.println("SHA-256 Hash: " + hexString.toLowerCase());

輸出：

Original String: 123456
SHA-256 Hash: 424026bb6e21ba5cda976caed81d15a3be7b1b2accabb79878758289df98cbec

在這個(gè)例子中，服務(wù)端保存的就是密碼“123456”加鹽哈希之后的數(shù)據(jù)，也就是“424026bb6e21ba5cda976caed81d15a3be7b1b2accabb79878758289df98cbec” 。

當(dāng)你輸入密碼登錄之后，服務(wù)端會(huì)先把你的密碼對(duì)應(yīng)的鹽取出，然后再去執(zhí)行一遍獲取哈希值的過(guò)程。如果最終計(jì)算出來(lái)的哈希值和保存在數(shù)據(jù)庫(kù)中的哈希值一直，那就說(shuō)明密碼是正確的。否則的話，密碼就不是正確的。

哈希算法的是不可逆的，你無(wú)法通過(guò)哈希之后的值再得到原值，這樣的話，服務(wù)端也不知道你的原密碼到底是什么，自然沒(méi)辦法告訴你原密碼是什么。

來(lái)源 | 腳本之家會(huì)員中心