在现代应用中，密码的安全性至关重要。为了保护用户密码，我们通常会对密码进行加密存储，并在用户登录时进行校验。本文将介绍如何使用 PasswordEncryptionUtil 工具类实现密码的加密与校验。

---

工具类介绍

PasswordEncryptionUtil 是一个基于 BCrypt 算法的密码加密工具类，提供了以下两个核心方法：

1. encodePassword(String rawPassword)
   用于对原始密码进行加密，返回加密后的字符串。

2. matches(String rawPassword, String encodedPassword)
   用于校验原始密码是否与加密后的密码匹配，返回布尔值。

---

为什么选择 BCrypt？

BCrypt 是一种广泛使用的密码哈希算法，具有以下优点：

1. 安全性高：BCrypt 使用盐值（salt）和多次哈希迭代，有效抵御彩虹表攻击。
2. 自动盐值管理：BCrypt 在加密时会自动生成盐值，并将其嵌入到加密结果中，无需额外存储。
3. 可配置的复杂度：通过调整哈希迭代次数，可以控制加密的复杂度。

---

使用步骤

1. 添加依赖

首先，确保项目中引入了 jBCrypt 依赖。如果使用 Maven，可以在 pom.xml 中添加以下依赖：

<dependency><groupId>org.mindrot</groupId><artifactId>jbcrypt</artifactId><version>0.4</version>
</dependency>

2. 加密密码

在用户注册或修改密码时，使用 encodePassword 方法对密码进行加密：

String rawPassword = "user123"; // 用户输入的原始密码
String encodedPassword = PasswordEncryptionUtil.encodePassword(rawPassword);
System.out.println("加密后的密码: " + encodedPassword);

输出示例：

加密后的密码: $2a$10$3zYbJZ5Z5Z5Z5Z5Z5Z5Z5u

3. 校验密码

在用户登录时，使用 matches 方法校验密码是否匹配：

String rawPassword = "user123"; // 用户输入的原始密码
String encodedPassword = "$2a$10$3zYbJZ5Z5Z5Z5Z5Z5Z5Z5u"; // 数据库中存储的加密密码boolean isMatch = PasswordEncryptionUtil.matches(rawPassword, encodedPassword);
System.out.println("密码是否匹配: " + isMatch);

输出示例：

密码是否匹配: true

---

实际应用场景

场景 1：用户注册

在用户注册时，对密码进行加密并存储到数据库：

public void registerUser(String username, String rawPassword) {String encodedPassword = PasswordEncryptionUtil.encodePassword(rawPassword);// 将 username 和 encodedPassword 存储到数据库userRepository.save(new User(username, encodedPassword));
}

场景 2：用户登录

在用户登录时，校验密码是否匹配：

public boolean loginUser(String username, String rawPassword) {User user = userRepository.findByUsername(username);if (user == null) {return false; // 用户不存在}return PasswordEncryptionUtil.matches(rawPassword, user.getEncodedPassword());
}

场景 3：修改密码

在用户修改密码时，对新密码进行加密并更新数据库：

public void changePassword(String username, String newRawPassword) {String newEncodedPassword = PasswordEncryptionUtil.encodePassword(newRawPassword);// 更新数据库中的密码userRepository.updatePassword(username, newEncodedPassword);
}

---

注意事项

1. 密码强度
   在加密前，建议对原始密码进行强度校验，确保密码符合安全要求（如长度、复杂度等）。

2. 加密结果长度
   BCrypt 的加密结果长度固定为 60 个字符，数据库字段应预留足够空间。

3. 性能优化
   BCrypt 的哈希迭代次数可以通过 BCrypt.gensalt(int log_rounds) 调整，默认值为 10。较高的迭代次数会增加安全性，但也会增加计算时间。

4. 错误处理
   在实际应用中，应对加密和校验过程中的异常进行捕获和处理，例如：

   try {String encodedPassword = PasswordEncryptionUtil.encodePassword(rawPassword);
   } catch (Exception e) {// 处理加密失败的情况
   }
   

---

总结

PasswordEncryptionUtil 工具类基于 BCrypt 算法，提供了简单易用的密码加密与校验功能。通过本文的介绍，您可以在项目中轻松实现密码的安全管理，有效保护用户数据。希望这篇博客对您有所帮助！如果有任何问题，欢迎留言讨论。

---

附录：完整工具类代码

package com.paoxiaomo.teachingassistant.utils;import org.mindrot.jbcrypt.BCrypt;public class PasswordEncryptionUtil {/*** 加密密码** @param rawPassword 原始密码* @return 加密后的密码*/public static String encodePassword(String rawPassword) {// 生成盐值并加密密码return BCrypt.hashpw(rawPassword, BCrypt.gensalt());}/*** 校验密码是否匹配** @param rawPassword      原始密码* @param encodedPassword  加密后的密码* @return 校验结果，true 为匹配，false 为不匹配*/public static boolean matches(String rawPassword, String encodedPassword) {// 校验原始密码和加密后的密码是否匹配return BCrypt.checkpw(rawPassword, encodedPassword);}
}