Grails - Spring Security中相同盐的不同密码

时间:2013-06-26 10:37:56

标签: grails spring-security passwords salt

我的网络应用使用Spring Security插件进行身份验证和授权。我正在构建一种API,我需要验证用户密码。

Spring Security配置为使用具有5个loground和username属性的BCrypt作为salt:

grails.plugins.springsecurity.password.algorithm = 'brcypt' 
grails.plugins.springsecurity.password.bcrypt.logrounds = 5
grails.plugins.springsecurity.dao.reflectionSaltSourceProperty = 'username' // password salting

现在,在我的控制器中,我想验证用户密码和登录。为此,我致电springSecurityService.encodePassword(cmd.password, cmd.username)

其中cmd是我的参数的命令对象。问题是,在每个请求中,使用springSecurityService编码的密码是不同的,并且与数据库中的用户密码不同。我在encodePassword调用中也尝试使用常量值,如下所示: springSecurityService.encodePassword('foo', 'bar')和结果相同:在每个请求上编码的密码都不同。这样我无法验证用户密码并从数据库获取有效的用户实例。

任何想法如何解决这个问题?

1 个答案:

答案 0 :(得分:6)

bcrypt每次生成一个uniq salt,并将其包含在结果哈希中。因为它springSecurityService.encodePasswod只是忽略第二个参数,reflectionSaltSourceProperty选项也是如此(see sources)。因此,每次为相同的输入数据获取不同的哈希值。

您可以使用BCrypt类来验证密码,例如:

if (BCrypt.checkpw(candidate_password, stored_hash))
    System.out.println("It matches");
else
    System.out.println("It does not match");

请参阅BCrypt的文档:http://static.springsource.org/autorepo/docs/spring-security/3.1.x/apidocs/org/springframework/security/crypto/bcrypt/BCrypt.html

顺便说一下,当您使用Spring Security时,它已经在框架中实现,因此您可以使用passwordEncoder bean:

def passwrodEncoder
...
passwordEncoder.isPasswordValid(user.password, cmd.password, user.username) //user.username will be ignored