密码通常使用MD5对用户密码HASH 后保存在数据库中的方法，如果黑客拿到了这个HASH数值，那么可以采用字典的方式暴力破解，如果这个字典数据库足够大，并且字典比较符合人们的设置习惯 的话，那很容易就能破解常见的密码，因此UCenter采用了salt来防止这种暴力破解，salt是一随机字符串，它与口令连接在一起，再用单向函数对 其运算，然后将salt值各单向函数运算的结果存入数据库中。如果可能的salt值的数目足够大的话，它实际上就消除了对常用口令采用的字典式攻击，因为 黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。

　　UCenter的用户信息是保存在uc_members表中，在这个表中，每个用户都有一个不同的随机 salt字段，表中的password字段为计算后的密码，密码计算规则是$password=md5（md5（$password）.$salt），也 就是将用户的密码MD5后，添加salt，然后再MD5，保存在password字段中。

　　不过，如果原有系统使用的是md5（password+salt）的 方式保存的密码，那就无法实现密码的平滑迁移UCenter了，即使迁移，也只能人为将其UCenter的password增加一个salt才能使用，因 此，我们在平时设计系统用户密码的时候，应该尽量采用md5（md5（password）+salt）的方式保存密码，这样才能方便的实现和 UCenter的接口，并且保证了安全性，通常对于英文用户名来说，自建系统使用username来做salt是个简便的方法。