【发布时间】:2012-04-01 02:49:47
【问题描述】:
我无法使用 BCrypt 的 checkpw(plaintextpw, previoushash) 方法获取明文密码和之前的哈希值。
在注册 servlet 中,我获取输入的密码,使用 BCrypt 的 hashpw(password, genSalt) 方法对其进行哈希处理并将其存储在数据库中。
在登录 servlet 中,我从数据库中获取该哈希,并使用 BCrypt 的 checkpw 来查看它是否与输入的密码匹配。
它永远不会匹配。这在我的常规 java 应用程序中运行良好,只是在 webapp 中不行。没有其他人有这个问题,所以我想我一定是做错了:
//RegisterServlet
String pw_hash = BCrypt.hashpw(request.getParameter("password"), BCrypt.gensalt());
String loginInsertString = "insert into login (loname,lopassword,locustomerid)" +
" VALUES ('" + username + "','" + pw_hash + "','" + loginInsert + "');";
//LoginServlet
ResultSet rs = stmt.executeQuery("select lopassword from login where loname = '" +
loginName + "';");
while( rs.next()){
dbhash = rs.getString(1);
}
out.println(dbhash+"<br>");
if (BCrypt.checkpw(request.getParameter("password"), dbhash)) {
out.println("It matches");
}else{
out.println("It does not match");
}
BCrypt API 非常简单 - here
我没有存储盐,因为使用 BCrypt 你应该不需要 - 那我做错了什么?
【问题讨论】:
-
已解决 - 存储 pw_hash 的数据库字段为 80 个字符。比 BCrypt 哈希值多 20 个字符。修剪散列或将数据库字段重置为 60 个字符。希望这对其他人有帮助。
-
请自己创建一个答案并接受,以结束问题,而不是在标题中添加“SOLVED”