Hash算法是一种单向的函数。它可以把任意数量的数据转换成固定长度的‘指纹’，这个过程是不可逆的。而且只要输入发生改变，哪怕只有一个bit，输出的hash值也会有很大不同。

加盐

查表和彩虹表的方式之所以有效是因为每一个密码都是通过同样的方式来进行hash的。如果两个用户是用了同样的密码，那么他们的密码hash也一定相同。我们可以通过让每一个hash随机化，同一个密码hash两次，得到的不同的hash来避免这种攻击。

具体的操作就是给密码加一个随机的前缀或者后缀，然后再进行hash。这个随机的后缀或者前缀称为‘盐’。所以盐一般都是跟hash一起保存在数据库里，或者成为hash字符串的一部分。

常见的使用盐的错误实现是：一个盐在多个hash中是用或者是用的盐很短。

java.security.SecureRandom

每一个用户，每一个密码都要使用不同的盐。用户每次创建账户或者修改密码都要使用一个新的随机盐。永远不要重复使用盐。盐的长度要足够，一个经验就是盐至少要跟hash函数输出的长度一致。盐应该跟hash一起存储在用户信息表里。

存储一个密码：

1. 是用CSPRNG生成一个长的随机盐
2. 将密码和盐拼接在一起，使用标准的加密hash函数比如SHA256进行hash
3. 将盐和hash记录在用户数据库中

验证一个密码：

1. 从数据库中取出用户的盐和hash
2. 将用户输入的密码和盐按相同方式拼接在一起，使用相同的hash函数进行hash
3. 比较计算出的hash跟存储的hash是否相同。如果相同则密码正确，反之则密码错误。

当用户忘记密码的时候，我应该怎样让他们重置

大多数网站是用绑定的email来进行密码找回。通过生成一个随机的、只使用一次的token，这个token必须跟账户绑定，然后把密码重置的链接发送到用户邮箱中。当用户点击密码重置链接的时候，提示他们输入新的密码。需要注意token一定要绑定到用户以免攻击者使用发送给自己的token来修改别人的密码。

token一定要设置成15分钟后或者使用一次后作废。当用户登录或者请求了一个新的token的时候，之前发送的token都作废。

Reference

ThreadLocal 那点事儿

public class SequenceB implements Sequence {

    private static ThreadLocal<Integer> numberContainer = new ThreadLocal<Integer>() {
        @Override
        protected Integer initialValue() {
            return 0;
        }
    };

    public int getNumber() {
        numberContainer.set(numberContainer.get() + 1);
        return numberContainer.get();
    }

    public static void main(String[] args) {
        Sequence sequence = new SequenceB();

        ClientThread thread1 = new ClientThread(sequence);
        ClientThread thread2 = new ClientThread(sequence);
        ClientThread thread3 = new ClientThread(sequence);

        thread1.start();
        thread2.start();
        thread3.start();
    }
}

打印结果：

Thread-0 => 1
Thread-0 => 2
Thread-0 => 3
Thread-2 => 1
Thread-2 => 2
Thread-2 => 3
Thread-1 => 1
Thread-1 => 2
Thread-1 => 3

用ThreadLocal<T>保证了一个Thread用一个T，Thread之间不会共享这个T

ThreadLocal 里面不就是封装了一个 Map

public class MyThreadLocal<T> {

    private Map<Thread, T> container = Collections.synchronizedMap(new HashMap<Thread, T>());

    public void set(T value) {
        container.put(Thread.currentThread(), value);
    }

    public T get() {
        Thread thread = Thread.currentThread();
        T value = container.get(thread);
        if (value == null && !container.containsKey(thread)) {
            value = initialValue();
            container.put(thread, value);
        }
        return value;
    }

    public void remove() {
        container.remove(Thread.currentThread());
    }

    protected T initialValue() {
        return null;
    }
}

Reference：

JDBC在getConnection之前为什么要调用Class.forName

获取一个数据库连接的通用模板如下：

String driver = "oracle.jdbc.OracleDriver";
String url = "jdbc:oracle:thin:@127.0.0.1:1521:orcl";
String user = "scott";
String password = "ticmy";
Class.forName(driver);
Connection conn = DriverManager.getConnection(url, user, password);

• 里面有个Class.forName(driver)，这句话有什么作用？

• Class.forName做了什么。

假设一个类以前从来没有被装进内存过，Class.forName(String className)这个方法会做以下几件事情：

1、装载。将字节码读入内存，并产生一个与之对应的java.lang.Class类对象

2、连接。这一步会验证字节码，为static变量分配内存，并赋默认值（0或null），并可选的解析符号引用（这里不理解没关系）

3、初始化。为类的static变量赋初始值，假如有static int a = 1;这个将a赋值为1的操作就是这个时候做的。除此之外，还要调用类的static块。（这一步是要点）

Class.forName(String className)方法会将这三步都做掉，如下面的例子：

package com.ticmy.oracle;

public class TestClinit {
    public static void main(String[] args) throws Exception {
        Class.forName("com.ticmy.oracle.ABC");
    }
}
class ABC {
    private static int a = getNum();
    static {
        System.out.println("this is static block");
    }
    public static int getNum() {
        System.out.println("getNum");
        return 1;
    }
}

程序的运行结果是：

getNum
this is static block

Class.forName(driver)的根本目的就是为了调用DriverManager.registerDriver。

Reference：