Подтвердить что ты не робот

Bcrypt генерирует разные хэши для одного входа?

Я просто добавил функцию регистрации в свой новый проект grails. Для тестирования я зарегистрировался, указав электронное письмо и пароль. Я использую алгоритм bcrypt для хэширования пароля перед сохранением его в базе данных.

Однако, когда я пытаюсь войти с тем же адресом электронной почты и паролем, который я дал во время регистрации, логин завершается с ошибкой. Я отлаживал приложение и выяснял, что хэш, созданный для одного и того же пароля, отличается, когда я пытаюсь сравнить с уже хэшированным из базы данных, и, следовательно, логин не работает (Registration.findByEmailAndPassword(params.email, hashPassd ) в LoginController.groovy возвращает null).

Здесь мой класс домена Registration.groovy:

class Registration {

   transient springSecurityService

   String fullName
   String password
   String email

   static constraints = {
      fullName(blank:false)
      password(blank:false, password:true)
      email(blank:false, email:true, unique:true)
   }

   def beforeInsert = {
      encodePassword()
   }

   protected void encodePassword() {
      password = springSecurityService.encodePassword(password)
   }
}

Здесь мой LoginController.groovy:

class LoginController {

   /**
    * Dependency injection for the springSecurityService.
    */
   def springSecurityService

   def index = {
      if (springSecurityService.isLoggedIn()) {
         render(view: "../homepage")
      }
      else {
         render(view: "../index")
      }
   }

   /**
    * Show the login page.
    */
   def handleLogin = {

      if (springSecurityService.isLoggedIn()) {
         render(view: "../homepage")
         return
      }

      def hashPassd = springSecurityService.encodePassword(params.password)
      // Find the username
      def user = Registration.findByEmailAndPassword(params.email,hashPassd)
      if (!user) {
         flash.message = "User not found for email: ${params.email}"
         render(view: "../index")
         return
      } else {
         session.user = user
         render(view: "../homepage")
      }
   }
}

Вот фрагмент моего Config.groovy, в котором рассказывается о граале, чтобы использовать алгоритм bcrypt для хэш-паролей и количество раундов манипуляции:

grails.plugins.springsecurity.password.algorithm = 'bcrypt'
grails.plugins.springsecurity.password.bcrypt.logrounds = 16
4b9b3361

ОТВЕТЫ

Ответ 1

Ян прав - bcrypt по дизайну не генерирует один и тот же хеш для каждой входной строки. Но есть способ проверить, что хешированный пароль действителен, и он включен в соответствующий кодер пароля. Поэтому добавьте инъекцию зависимостей для passwordEncoder bean в вашем контроллере (def passwordEncoder) и измените поиск на

def handleLogin = {

   if (springSecurityService.isLoggedIn()) {
      render(view: "../homepage")
      return
   }

   def user = Registration.findByEmail(params.email)
   if (user && !passwordEncoder.isPasswordValid(user.password, params.password, null)) {
      user = null
   }

   if (!user) {
      flash.message = "User not found for email: ${params.email}"
      render(view: "../index")
      return
   }

   session.user = user
   render(view: "../homepage")
}

Обратите внимание, что вы не кодируете пароль для isPasswordValid call-pass в отправляемом пароле.

Также - полностью не связанный - это плохая идея сохранить пользователя в сеансе. Принцип аутентификации легко доступен и хранит идентификатор пользователя, чтобы упростить перезагрузку пользователя по мере необходимости (например, User.get(springSecurityService.principal.id). Сохранение отключенных потенциально больших объектов Hibernate отлично работает в режиме dev, когда вы являетесь единственным пользователем вашего сервера, но может стать значительной потерей памяти и заставить вас работать с отключенными объектами (например, использовать merge и т.д.).

Ответ 2

В хэширование BCrypt входит salt, и в результате этот алгоритм возвращает разные хэши для одного и того же ввода. Позвольте мне продемонстрировать это в Ruby.

> require 'bcrypt'
> p = BCrypt::Password.create "foobar"
=> "$2a$10$DopJPvHidYqWVKq.Sdcy5eTF82MvG1btPO.81NUtb/4XjiZa7ctQS"
> r = BCrypt::Password.create "foobar"
=> "$2a$10$FTHN0Dechb/IiQuyeEwxaOCSdBss1KcC5fBKDKsj85adOYTLOPQf6"
> p == "foobar"
=> true
> r == "foobar"
=> true

Следовательно, BCrypt не может использоваться для поиска пользователей способом, представленным в вашем примере. Вместо этого следует использовать альтернативное однозначное поле. имя пользователя или адрес электронной почты.