那些遇到过的问题

Spring Security - BcryptPasswordEncoder

Uda*_*ani 3 java spring spring-security

我在我们的应用程序中使用Spring安全性,并希望使用存储在数据库中的密码验证用户输入以获取更改密码选项.

密码在DB中按如下方式存储.

user.setPassword(new BCryptPasswordEncoder().encode("<userPassword>"));
Run Code Online (Sandbox Code Playgroud)

这里用户输入的密码使用上述逻辑编码并存储在DB中.现在我只是想从用户那里获取更改密码的密码.从用户获取密码后,我使用上述逻辑进行编码,并尝试与DB进行比较.即使我使用相同的编码逻辑,编码值似乎也不同.

我的配置来自WebSecurityConfig:

@Autowired
public void configAuthentication(final AuthenticationManagerBuilder auth) throws Exception {

    auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());

}
Run Code Online (Sandbox Code Playgroud)

我不确定比较有什么问题.

Ali*_*ani 6

即使我使用相同的编码逻辑,编码值似乎也不同.

Bcrypt算法使用内置的salt值,每次都不同.所以,是的,即使对于相同的Clear Text,相同的编码过程也会生成不同的Cipher Text.

从用户获取密码后,我使用上述逻辑进行编码,并尝试与DB进行比较

不要编码原始密码.假设rawPassword是客户端提供给您的密码,并且encodedPassword是数据库中编码的存储密码.然后,使用以下方法,而不是编码rawPassword和比较使用的结果:String#equalsPasswordEncoder#matches

PasswordEncoder passwordEnocder = new BCryptPasswordEncoder();
if (passwordEncoder.matches(rawPassword, encodedPassword)) {
    System.out.println("Matched!");
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2314 次

最近记录:

9 年,8 月 前
相关归档
Java Set保留订单? 158
从Jackson 2.2的ObjectMapper中打印JSON 134
netbeans中的代码清理 80
RegEx分裂camelCase或TitleCase(高级) 76
使用profile进行Spring集成测试 20
Spring RESTful服务作为WAR而不是Tomcat中的JAR 18
仅在确定提交但在提交之前拦截事务 16
ScopedProxy如何决定使用哪个Session? 11
注销后删除access_token 2
Spring安全登录/注销问题 1
难疑归档
从脚本本身获取Bash脚本的源目录 4672
HashMap和Hashtable之间的区别? 3604
为什么我不应该在PHP中使用mysql_*函数? 2432
找到已安装的npm软件包的版本 2037
没有jQuery的$(document).ready等价 1925
什么是移动语义? 1614
如何从GET参数中获取值? 1255
如何使用jQuery更改超链接的href 1231
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
Ukkonen的简明英语后缀树算法 1065