首先他得破解key 也就是之前的盐
这个是随机的 比之前的安全多了

前面说了嘛，是为了防彩虹表。

如果想破解，就得为每个salt分别计算，才能获取到真实值

这种算法常见用于JWT中，用来做签名，攻击者获取不到key，就无法伪造hash值，也就无法篡改原文。

我也是同样的想法；但是加随机盐有好处，彩虹表针对每一个用户都是需要重新计算的，这个工作量很大，顶多破解个别用户密码，要想破解全部用户需要大量时间，但总比不加随机盐要好，而且现在为了防止密码被破解，一般还要求用户每隔一段时间修改密码，每次修改密码还结合短信验证等多种机制。如果彩虹表包含了用户口令，只是时间问题。如果不包含，就不会被命中，所以要求用户尽量设置包含字符大小写和数字的密码，尽量避免在常用口令的彩虹表里。但我想，有没有不借助其他机制，绝对的方法不被破解，哪怕是一个用户的也不行？求解

你永远无法阻止用户使用12345这些简单口令，所以你往后看就知道怎么用随机口令加密了。

你永远无法阻止用户使用12345这些简单口令，所以你往后看就知道怎么用随机口令加密了。

—— 在设置密码时就做校验，必须多少码以上，必须大写、小写、数字、特殊字符混合，必须不是常见的弱密码。。。