使用spring security编码密码的问题

时间:2013-10-21 15:14:03

标签: grails spring-security

我正在使用grails 2.3.0并在使用spring security编码密码时面临奇怪的问题:

这是我编码密码的方法:

String encodePassword(String password) {
    return springSecurityService.encodePassword(password)
}

并使用那样的

log.debug encodePassword("mkb")
log.debug encodePassword("mkb")
log.debug encodePassword("mkb")

我正在多次编码相同的密码,每次我获得不同的编码密码。

日志:

$2a$10$h8T4BxgOeozmH/VSPJl7NeTaF2P0iONpSdqDN7dDFFAG.sy8WG/8K
$2a$10$a7qybaiLF/eNrTSwFohjkezNaJTTDdMEinRYKjxDzEt.OoxaIgFOu
$2a$10$nZVhUT0QTmmbtt22CPtM..cLxU252RGBIMkd5aSd2AFXNTNLQ./6u

1 个答案:

答案 0 :(得分:13)

没关系。看起来你正在使用BCrypt密码哈希,每次编码密码时此算法都使用随机盐(其他哈希算法使用'盐源属性',如id)。这个盐预先哈希

所以你有:

  • $2a - 盐版
  • $10 - 轮次
  • $h8T4BxgOeozmH/VSPJl7NeTaF2P0iONpSdqDN7dDFFAG.sy8WG/8K - 用于salt + hash的Base64,其中salt获得前24个字符,而hash获取其余的字符:
    • h8T4BxgOeozmH/VSPJl7NeTaF - salt
    • 2P0iONpSdqDN7dDFFAG.sy8WG/8K - 哈希(盐+密码10轮)

请参阅Spring Security的BCrypt来源:https://github.com/spring-projects/spring-security/blob/master/crypto/src/main/java/org/springframework/security/crypto/bcrypt/BCrypt.java

如果您需要手动检查用户密码,则必须使用passwordEncoder,例如:

//dependency injection
def passwordEncoder

//validate
String enteredPassword = params.password
User user = ...
if (!passwordEncoder.isPasswordValid(user.password, enteredPassword, null)) { //validates raw password against hashed
   //... wrong password entered
}