【问题标题】:Read Jasypt password from database to validate从数据库中读取 Jasypt 密码以进行验证
【发布时间】:2020-10-08 19:34:48
【问题描述】:

我正在使用桌面应用程序的登录/注册系统。我有一个注册表单和登录表,凭据信息保存到 PostgreSQL 数据库。我开始时没有加密信息,一切正常,但我现在想加密密码以保存到数据库。我正在使用 Jasypt 并获得了加密并保存到数据库的密码:

public void actionPerformed(ActionEvent e){
    if(e.getSource() == registerButton){
        try{
            //connects to the database
            Connection conn = DriverManager.getConnection("jdbc:postgresql://localhost:5432/cc","pi","server");
            //inserts values into table
            PreparedStatement statement = conn.prepareStatement("insert into users values(?,?,?,?,?)");
            statement.setString(1, firstName.getText());
            statement.setString(2, lastName.getText());
            statement.setString(3, email.getText());
            statement.setString(4, username.getText());
            //checks password to ensure confirmation matches
            //encrypts password for storing in database
            if(password.getText().equals(confPass.getText())){
                StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor();
                String encryptPass = passwordEncryptor.encryptPassword(password.toString());
                statement.setString(5, encryptPass);
                statement.executeUpdate();
                JOptionPane.showMessageDialog(null, "Registered Successfully");
                frame.dispatchEvent(new WindowEvent(frame, WindowEvent.WINDOW_CLOSING));
            }
            else{
                JOptionPane.showMessageDialog(null, "Password did not match");
            }
        } catch(SQLException f){
            f.printStackTrace();
        }
    }

这很好用,我的密码是加密的。我不知道从哪里开始从数据库中获取密码以将加密密码与用户输入进行比较。我用于比较密码的登录表单(在加密密码之前):

public void actionPerformed(ActionEvent e){
    //verify users credentials and signs in
    if(e.getSource() == login){
        try{
            //connects to the database
            Connection conn = DriverManager.getConnection("jdbc:postgresql://localhost:5432/cc","pi","server");
            //inserts values into table
            PreparedStatement statement = conn.prepareStatement("SELECT username, user_pass FROM users WHERE username = ? and user_pass = ?");
            statement.setString(1, username.getText());
            statement.setString(2, password.getText());
            ResultSet result = statement.executeQuery();
            if (result.next()) {
                frame.dispose();
                new CommunityCooks();
            }
            else {
                JOptionPane.showMessageDialog(null, "Username or Password did not match.");
            }
        }
        catch(SQLException f){
            f.printStackTrace();
        }
    }

我制作了一个测试应用来比较加密密码并大致了解它的工作原理:

import org.jasypt.util.password.StrongPasswordEncryptor;

public class EncryptTest {

    public static void main(String[] args) {
        String userPass = "test";

        StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor();
        String encryptPass = passwordEncryptor.encryptPassword(userPass);
        System.out.println(encryptPass);

        if(passwordEncryptor.checkPassword("test", encryptPass)){
            System.out.println("correct");
        }
        else{
            System.out.println("wrong");
        }
    }
}

我很难过的部分是尝试获取加密密码并将其与用户输入密码进行比较以进行验证。我相信我需要加密输入密码,然后可以使用 passworEncryptor.checkPassword();但我不知道将它放在登录代码中的哪个位置以及如何实现它。任何帮助都会很棒。

谢谢。

【问题讨论】:

    标签: java encryption jasypt


    【解决方案1】:

    Java 库 Jasypt 的名称缩写为“Java Simplified Encryption”,因此该库试图避免这种情况 用户正在执行由于实现错误而变得不安全的加密例程。

    用户密码的验证就像您的测试应用程序一样简单 - 您不需要实现加密部分,只需通过 用户在您的登录表单中输入的密码并将其传递给验证部分

    详细说明:有两个部分 - 在第 1 部分中,用户使用他的 userPassword 注册并将其传递给 encryptPassword 方法:

    String userPassword = "myPassword";
    String encryptedPassword = passwordEncryptor.encryptPassword(userPassword);
    
    encryptedPassword example: rCAgedhPnGoDZ1PF7hgspDIhLnLAHo536PSCKUfpYu8Yv0JHEcIZ3ZVHIHojBn1D
    

    此加密密码存储在数据库中,您必须记住,您无法从此字符串恢复原始密码!

    在第 2 部分中,用户尝试使用他的 loginPassword 登录并将其传递给 checkPassword 方法。程序从数据库加载 encryptedPassword 并将 loginPassword 与 encryptedPassword 一起传递。检查结果(布尔值),程序中的下一步取决于结果,“true”表示 loginPassword 正确,“false”表示 loginPassword 不正确。

    String loginPassword = "myPassword";
    if (passwordEncryptor.checkPassword(loginPassword, encryptedPassword)) {
          // correct!
          System.out.println("correct passsword");
    } else {
          // bad login!
          System.out.println("password not correct");
    }
    

    更多信息您可以查看“易使用”网页:http://www.jasypt.org/easy-usage.html

    【讨论】:

    • 我了解它的工作原理。我制作了一个测试应用程序并发布了它,表明它可以正常工作。我遇到的问题是如何从数据库中获取加密密码并将其与用户输入的密码进行比较。当我使用preparedStatement 获取加密密码时,我不知道该去哪里,Jasypt 网站也没有提及。
    • Jasypt 的password.encrypter-method 是一种单向加密功能,意味着密码一旦加密就无法“恢复”。只有一种方法可以根据 encryptedPassword 验证(稍后)输入,这在第 2 部分中完成。同样:您不能“比较”这两个密码。
    猜你喜欢
    • 1970-01-01
    • 2021-12-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多