我无法使用BCrypt的checkpw(plaintextpw,previoushash)方法获取明文密码和之前的哈希值。
在寄存器servlet中,我输入密码,使用BCrypt的hashpw(密码,genSalt)方法对其进行哈希处理,并将其存储在数据库中。
在登录servlet中,我从db中获取该哈希值,并使用BCrypt的checkpw来查看它是否与输入的密码匹配。
永远不会匹配。这在我的常规Java应用程序中工作正常,而不是在webapp中。没有其他人遇到这个问题所以我认为我一定是做错了:
//RegisterServlet
String pw_hash = BCrypt.hashpw(request.getParameter("password"), BCrypt.gensalt());
String loginInsertString = "insert into login (loname,lopassword,locustomerid)" +
" VALUES ('" + username + "','" + pw_hash + "','" + loginInsert + "');";
//LoginServlet
ResultSet rs = stmt.executeQuery("select lopassword from login where loname = '" +
loginName + "';");
while( rs.next()){
dbhash = rs.getString(1);
}
out.println(dbhash+"<br>");
if (BCrypt.checkpw(request.getParameter("password"), dbhash)) {
out.println("It matches");
}else{
out.println("It does not match");
}
BCrypt API非常简单 - here
我没有储存盐,因为你认为BCrypt不需要 - 所以我做错了什么?
答案 0 :(得分:9)
pw_hash存储的数据库字段为80个字符。这比BCrypt哈希值多20个字符。修剪哈希值或将数据库字段重置为60个字符。
(发布给定的答案[请参阅问题评论]从未答复的队列中删除问题。大约一年前用户被要求这样做但尚未这样做。这个答案的信用是他们的)