🔐 Hash + StringBuffer

암호화 vs 해시

구분	설명
암호화(Encryption)	데이터를 읽을 수 없게 만든 후, 나중에 복호화(decryption) 해서 다시 원래대로 되돌릴 수 있음
해시(Hash)	데이터를 일정한 길이의 고정된 값으로 바꿈. 한 번 바꾸면 절대 되돌릴 수 없음(일방향)

---

🔐 SHA-256

• SHA-256은 Secure Hash Algorithm 256-bit의 약자
• SHA-256은 일방향 해시 함수
• 해시함수: 임의의 데이터를 고정된 길이(256비트)의 해시값으로 변환
  ➡ 항상 64자리 16진수 문자열
• 해시는 비가역적(절대 복원 안 됨)
• 비밀번호를 DB에 저장할 때, 평문 대신 해시값(Digest) 을 저장

---

StringBuffer

✅StringBuffer는 String의 "불변성(immutable)" 문제를 보완한 클래스
문자열을 효율적으로 수정·결합가능한 가변 문자열 클래스

StringBuffer 주요 메서드

메서드	설명
append()	문자열을 끝에 추가
insert()	지정한 위치에 문자열 삽입
delete()	지정한 범위 문자열 삭제
replace()	범위 내 문자열을 다른 문자열로 대체
reverse()	문자열을 뒤집음
setLength()	문자열 길이 조절 (길이 줄이거나 늘림)
toString()	최종 문자열 반환 (String으로 변환)

StringBuffer sql = new StringBuffer();
sql.append("insert into admin(id, pwd, name, email) "); 
sql.append("values(?,?,?,?)");

PreparedStatement pstmt = null;

try {
	pstmt = appmain.con.prepareStatement(sql.toString());

	// 사용자가 입력한 값 세팅
	pstmt.setString(1, t_id.getText());
	pstmt.setString(2, StringUtil.getSecuredPass(new String(t_pwd.getPassword())));
	pstmt.setString(3, t_name.getText());
	pstmt.setString(4, t_email.getText());

	int result = pstmt.executeUpdate(); // DML 실행

	if (result > 0) {
		JOptionPane.showMessageDialog(this, "관리자 가입 성공");
	} else {
		JOptionPane.showMessageDialog(this, "등록실패");
	}
} catch (SQLException e) {
	e.printStackTrace();
} finally {
	if (pstmt != null) {
		try {
			pstmt.close();
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
}

• String은 불변(immutable) 객체다.
  → 한 번 생성되면 내부 문자열을 절대 바꿀 수 없음
  → "a" + "b" 같은 연산을 하면, 새로운 String 객체가 계속 생성돼서 메모리 낭비가 발생

• 그래서 문자열을 계속 붙이거나 수정해야 하는 상황에서는 StringBuffer 또는 StringBuilder를 사용함

구분	설명
String	불변 객체. 문자열 수정 시 새 객체 생성됨.
StringBuffer	가변 객체. 내부 버퍼에서 문자열을 수정함 → 재사용 가능
StringBuilder	StringBuffer와 거의 같지만, 싱글스레드 전용(속도 빠름)

SQL문 조립에는 StringBuffer, 바인딩에는 String을 써라

---

admin table 조건

create table admin(
	admin_id int primary key auto_increment,
	id varchar(20),
	pwd varchar(64),
    --pwd는 암호화때문에 64자
	name varchar(20),
	email varchar(30)
);

StringUtil.getSecuredPass(pwd)

JavaSE는 이미 암호화 알고리즘 함수를 보유하고 있음

public class StringUtil {
	
	public static String getSecuredPass(String pwd) {
		
		String pass = pwd;
		StringBuffer sb = new StringBuffer(); // ✅ String의 불변성 문제를 해결한 객체
		
		try {
			// 1️⃣ SHA-256 알고리즘 객체 생성
			MessageDigest md = MessageDigest.getInstance("SHA-256");
			
			// 2️⃣ 입력 문자열을 UTF-8 바이트 배열로 쪼개기
			byte[] hash = md.digest(pass.getBytes("UTF-8")); 
			// System.out.println(hash.length); // 32 출력: 256비트 = 32바이트
			
			// 3️⃣ 잘게 쪼개진 바이트 배열을 16진수 문자열로 변환
			for (int i = 0; i < hash.length; i++) {
				/*
				 * byte 데이터를 16진수로 변환할 때, byte값이 음수인 경우
				 * int형으로 변환되면서 부호 비트가 생긴다.
				 * 이 부호 비트는 암호화와 무관하므로 제거해줘야 함.
				 * 
				 * → ✅ 0xff와 & 연산자를 사용하여 부호 비트 제거 (정수형 0~255로 처리)
				 * 참고: Java에서 byte 연산 시 자동으로 int로 승격됨
				 */
				String hex = Integer.toHexString(0xff & hash[i]); 
				
				// 한 자리 수인 경우 앞에 0을 붙여 두 자리로 만들어줌 (64자 맞추기 위해)
				if (hex.length() < 2) sb.append("0");
				
				// String 누적
				sb.append(hex);
			}            
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		}
		
		// 최종적으로 완성된 64자리 SHA-256 해시 문자열 반환
		return sb.toString();
	}  //sb는 스트링 자료형 아니니까 toString메서드 사용
}

---

🔑 로그인

사용자가 로그인할 때는,
1️⃣ 입력한 비밀번호를 똑같이 SHA-256으로 해시
2️⃣ DB에 있는 값과 비교해서 일치하는지 확인

String pwd = new String(t_pwd.getPassword()); // 사용자가 입력한 비밀번호
String hash = StringUtil.getSecuredPass(pwd); // → ✅SHA-256 해시값 생성

String sql = "select * from admin where id=? and pwd=?"; // ✅DB에 저장된 해시값과 비교

pstmt.setString(1, id);
pstmt.setString(2, hashPwd);