BCrypt.checkpw() 无效的盐版本异常

Question

我正在尝试在我的 Play 2.1 中使用 BCrypt 实现身份验证。 Java 应用程序，但是当我尝试对用户进行身份验证时收到Invalid salt version exception。

这是我的堆栈跟踪

play.api.Application$$anon$1: Execution exception[[IllegalArgumentException: Invalid salt version]]
at play.api.Application$class.handleError(Application.scala:289) ~[play_2.10.jar:2.1.0]
at play.api.DefaultApplication.handleError(Application.scala:383) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:132) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:128) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
java.lang.IllegalArgumentException: Invalid salt version
at org.mindrot.jbcrypt.BCrypt.hashpw(BCrypt.java:664) ~[jbcrypt-0.3m.jar:na]
at org.mindrot.jbcrypt.BCrypt.checkpw(BCrypt.java:763) ~[jbcrypt-0.3m.jar:na]
at model.operations.DistrictOperations.authenticate(DistrictOperations.java:24) ~[na:na]
at controllers.Application.authenticateDistrict(Application.java:26) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]

我正在使用以下 maven 存储库：http://mvnrepository.com/artifact/org.mindrot/jbcrypt/0.3m

我的代码是基于文档的，因此

district.setPassword(BCrypt.hashpw(json.findPath("password").getTextValue(), BCrypt.gensalt()));    

用于保存密码（我也在检查密码是否为空）

BCrypt.checkpw(password, d.getPassword());

用于检查输入的密码是否正确，其中密码为字符串，d.getPassword() 为散列密码。

我不知道这是否是相关信息，但确切地说，我正在使用 Hibernate for ORM 和 PostgreSQL 8.4 作为 DB。

我有点卡在这里，所以我问是否有人可以帮助我。比你提前很多。

Answer 1

在我的情况下，由于将来自 https://bcrypt-generator.com 的哈希密码应用到我的服务器的 bcrypt 检查器（spring java security）中，我得到了这个盐修订错误。但是，使用另一个相同的普通密码但从https://www.javainuse.com/onlineBcrypt 散列，它可以工作并验证密码。对数轮的配置相同 (16)。

我认为我的情况是因为使用了不同的 bcrypt 编码器，尽管有些可能使用不同的编码器。

但是，如果 bcrypt 生成器和检查器来自同一个库，则可以确保哈希密码不会出现此问题。

Answer 2

你可以拆分{bcrypt}，并尝试使用其他详细信息

BCrypt.checkpw("123", "$2a$10$lVPvO6zyyxEWEPlKBg5B3OTjUHGS4LZ2jlulWAUpOjGz3.helz9H2");

Answer 3

在我的例子中，我在插入 db 期间使用了 {bcrypt} 作为前缀。

实例

{bcrypt}$2a$12$Yb3YagKV8B3AXoY2p/Ldk.L2maVKfNlr2dedk4ZUs/YUlalS8EzYu

当我检索密码时，将返回包括prefix 在内的整个值。所以我已经从hashing 值中排除了前缀。

String prefix= "{bcrypt}";

String hash_pw= user.getPassword().substring((prefix.length());

BCrypt.checkpw(loginRequest.getPassword(),hash_pw);

Answer 4

jBcrypt 太旧了，实际上没有维护。请考虑切换到该库的新实现以处理新的$2y$ 版本。

我使用这个纯 Java 库 https://github.com/patrickfav/bcrypt 解决了这个问题，并将其添加到我当前的 Scala 项目中。

通过以下函数，我终于可以验证使用VERSION_2Y 创建的哈希：

  /**
    * Verifies an encrypted password against the expected value
    *
    * @link https://github.com/patrickfav/bcrypt
    * @param hash The hashed password (encypted with BCrypt version $2Y$)
    * @param password The unencrypted password string
    */
  private def verifyBcryptHash(hash: String, password: String): Boolean = {
    if (hash == null || hash.trim.isEmpty)
      false
    else
      BCrypt
        .verifyer()
        .verifyStrict(
          password.toCharArray(),
          hash.toCharArray(),
          BCrypt.Version.VERSION_2Y
        )
        .verified
  }

Answer 5

如果您传递给checkpw(password, hash) 的“哈希”值甚至不是可破译的值，BCrypt 似乎会抛出这个红鲱鱼

Answer 6

您必须确保第一个参数是明文，第二个是散列密码。 这是函数的声明：

 public static boolean checkpw(String plaintext, String hashed)

Answer 7

我很抱歉打扰这个问题。我在将纯字符串保存到数据库而不是 BCrypted 的代码中只有一个错误。它是从代码的其他部分整体调用的。

Answer 8

对于遇到相同异常的其他人，请检查您的 BCrypt.checkpw 参数是否正确。 （我没有，因此在我意识到我的愚蠢错误之前发现了这个问题。）

或者当 OP 自己回答时，记录/调试散列密码的值以仔细检查您实际上是在比较散列密码！它应该是格式为 60 字符的字符串 $2a$10$llw0G6IyibUob8h5XRt9xuRczaGdCm/AiV6SSjf5v78XS824EGbh.

Answer 9

我遇到了同样的问题；确保您的密码以散列格式而不是纯文本存储在数据库中。这是一个Bcrypt generator，用于将您的纯文本密码转换为 Bcrypt 哈希。