0

我有一个由 apache wicket 构建的简单 Java Web 应用程序。当我在网络应用程序中注册用户时,我使用三元组加密他们输入的密码并将其保存到数据库中。在登录页面,当他们输入相同的密码时,我对其进行加密并将加密后的密码传递给数据库,以检查它是否正确。

现在我正在构建一个具有相同登录功能的安卓应用程序。

在 android 应用程序登录页面中,我使用相同的加密库来加密密码,并且我对两个平台使用相同的密钥和初始化向量,但是如果我尝试在 android 中输入相同的密码字符串,TripleDes 算法会生成完全不同的加密密码(很多更长)。因此从 android 设备登录失败。我还注意到android生成的加密密码无法解密,它会引发异常。

我认为两个平台之间可能存在字符串编码问题差异,但无法弄清楚是什么原因造成的以及如何解决它。

这是我使用的算法:

public class TripleDES {
private String key;
private byte[] initializationVector;

public TripleDES(String key, byte[] initializationVector)
{
    this.key = key;
    this.initializationVector = initializationVector;
}

public String encryptText(String plainText) throws Exception{
//----  Use specified 3DES key and IV from other source -------------------------
  byte[] plaintext = plainText.getBytes();
  byte[] tdesKeyData = key.getBytes();

  System.out.println("plain text length: " + plaintext.length);
  System.out.println("key length: " + tdesKeyData.length);


  Cipher c3des = Cipher.getInstance("DESede/CBC/PKCS5Padding");
  SecretKeySpec    myKey = new SecretKeySpec(tdesKeyData, "DESede");
  IvParameterSpec ivspec = new IvParameterSpec(initializationVector);

  c3des.init(Cipher.ENCRYPT_MODE, myKey, ivspec);
  byte[] cipherText = c3des.doFinal(plaintext);

  return Base64Coder.encodeString(new String(cipherText));
}

public String decryptText(String encryptedText) throws Exception{
    //----  Use specified 3DES key and IV from other source -------------------
      byte[] enctext = Base64Coder.decode(encryptedText);
      byte[] tdesKeyData = key.getBytes();


      Cipher c3des = Cipher.getInstance("DESede/CBC/PKCS5Padding");
      SecretKeySpec    myKey = new SecretKeySpec(tdesKeyData, "DESede");
      IvParameterSpec ivspec = new IvParameterSpec(initializationVector);

      c3des.init(Cipher.DECRYPT_MODE, myKey, ivspec);
      byte[] cipherText = c3des.doFinal(enctext);
      return new String(cipherText);
    }

}

4

1 回答 1

2

(编辑:如前所述,可逆地存储密码是一个坏主意,但为了使加密部分正确......)

这是第一个问题:

byte[] plaintext = plainText.getBytes();
byte[] tdesKeyData = key.getBytes();

那是使用默认的系统字符编码。所有Android手机都一样吗?我不知道。它在 Android 中与在您的 Web 服务器上是否相同?我不知道。如果一个平台使用 UTF-16,而另一个平台使用 UTF-8,并且plainText都是 ASCII,那肯定会导致加密数据大小的两倍差异。

我建议始终指定编码 - 在许多情况下,“UTF-8”是一个不错的选择。

编辑:好的,看起来问题也是你后来用cipherText. 您需要将原始字节转换为 base64 字符串。Android 内置了一个 base64 编码器,但这个公共域代码应该可以正常工作。而不是这一行:

return Base64Coder.encodeString(new String(cipherText));

你会用

return Base64.encodeBytes(cipherText);
于 2011-09-27T16:58:46.717 回答