BCrypt.checkpw() Недопустимая исключительная версия соли
Я пытаюсь реализовать аутентификацию с использованием BCrypt, в моей Play 2.1. Java-приложение, но я получаю Invalid salt version exception
когда я пытаюсь аутентифицировать пользователя.
Это моя трассировка стека
play.api.Application$$anon$1: Execution exception[[IllegalArgumentException: Invalid salt version]]
at play.api.Application$class.handleError(Application.scala:289) ~[play_2.10.jar:2.1.0]
at play.api.DefaultApplication.handleError(Application.scala:383) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:132) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:128) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
java.lang.IllegalArgumentException: Invalid salt version
at org.mindrot.jbcrypt.BCrypt.hashpw(BCrypt.java:664) ~[jbcrypt-0.3m.jar:na]
at org.mindrot.jbcrypt.BCrypt.checkpw(BCrypt.java:763) ~[jbcrypt-0.3m.jar:na]
at model.operations.DistrictOperations.authenticate(DistrictOperations.java:24) ~[na:na]
at controllers.Application.authenticateDistrict(Application.java:26) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
Я использую следующий репозиторий Maven: http://mvnrepository.com/artifact/org.mindrot/jbcrypt/0.3m
Мой код основан на документации, таким образом
district.setPassword(BCrypt.hashpw(json.findPath("password").getTextValue(), BCrypt.gensalt()));
Для сохранения пароля (я также проверяю пароль на нулевое значение)
BCrypt.checkpw(password, d.getPassword());
Для проверки правильности введенного пароля, где пароль - String, а d.getPassword() - хешированный пароль.
Я не знаю, является ли это важной информацией, но если быть точным, я использую hibernate для ORM и PostgreSQL 8.4 в качестве БД.
Я застрял здесь, поэтому я спрашиваю, может ли кто-нибудь помочь мне. Чем вы очень заранее.
10 ответов
Мне очень жаль, что я беспокоюсь об этом. У меня была только одна ошибка в коде, которая сохраняла простую строку в БД вместо одной BCrypted. Он был полностью вызван из какой-то другой части кода.
Для других, сталкивающихся с тем же исключением, проверьте, что у вас есть BCrypt.checkpw
параметры в правильном направлении. (Я не нашел и поэтому нашел этот вопрос, прежде чем осознал свою глупую ошибку.)
Или, как ОП ответил сам, запишите / отладьте значение хешированного пароля, чтобы дважды проверить, действительно ли вы сравниваете хешированный пароль! Это должна быть строка из 60 символов в формате $2a$10$llw0G6IyibUob8h5XRt9xuRczaGdCm/AiV6SSjf5v78XS824EGbh.
J Bcrypt слишком стар и фактически не поддерживается. Пожалуйста, подумайте о переходе на новую реализацию этой библиотеки для обработки новых$2y$
версии.
Я решил это, используя эту чистую библиотеку Java https://github.com/patrickfav/bcrypt, добавив ее в свой текущий проект Scala.
С помощью следующей функции я наконец могу проверить хэши, созданные с помощью VERSION_2Y
:
/**
* Verifies an encrypted password against the expected value
*
* @link https://github.com/patrickfav/bcrypt
* @param hash The hashed password (encypted with BCrypt version $2Y$)
* @param password The unencrypted password string
*/
private def verifyBcryptHash(hash: String, password: String): Boolean = {
if (hash == null || hash.trim.isEmpty)
false
else
BCrypt
.verifyer()
.verifyStrict(
password.toCharArray(),
hash.toCharArray(),
BCrypt.Version.VERSION_2Y
)
.verified
}
Я столкнулся с той же проблемой; Убедитесь, что ваш пароль хранится в базе данных в хешированном формате вместо простого текста. Вот генератор Bcrypt для преобразования вашего простого текстового пароля в хеш Bcrypt.
Вы должны убедиться, что первый аргумент является открытым текстом, а второй - хешированным паролем. Это объявление функции:
public static boolean checkpw(String plaintext, String hashed)
BCrypt, похоже, выбрасывает эту красную сельдь, если вы передаете значение 'hash' checkpw(password, hash)
даже не расшифрованная ценность
В моем случае я использовал
{bcrypt}
как префикс при вставке в db.
пример
{bcrypt}$2a$12$Yb3YagKV8B3AXoY2p/Ldk.L2maVKfNlr2dedk4ZUs/YUlalS8EzYu
когда я получаю пароль, все значение, включая
prefix
будет возвращен. Поэтому я исключил префикс из
hashing
значение.
String prefix= "{bcrypt}";
String hash_pw= user.getPassword().substring((prefix.length());
BCrypt.checkpw(loginRequest.getPassword(),hash_pw);
В моем случае я получил эту ошибку пересмотра соли из-за применения хешированного пароля с https://bcrypt-generator.com в средство проверки bcrypt моего сервера (Spring безопасность Java). Однако с другим таким же простым паролем, но хешированным с https://www.javainuse.com/onlineBcrypt, он работал и проверял пароль. Лог-раунды настроены одинаково (16).
Я предположил, что мой случай связан с использованием другого кодировщика bcrypt, хотя некоторые хешеры bcrypt могут работать с другим.
Но гарантировано, что у хешированного пароля нет этой проблемы, если генератор bcrypt и средство проверки одинаковы.
ты можешь разделить
{bcrypt}
, и попробуйте другие детали, используя
BCrypt.checkpw("123", "$2a$10$lVPvO6zyyxEWEPlKBg5B3OTjUHGS4LZ2jlulWAUpOjGz3.helz9H2");
Вчера у меня возникла эта ошибка при работе с bcryptjs. Я понял, что ошибка заключалась в том, что соль, определенная в моей переменной среды, была передана в виде строки, а bcrypt ожидал число. Я преобразовал его в число, и проблема была решена.
const hashedPassword = await hash(password, +config.SALT);
// +config.SALT the + sign before the config did the conversion.
Я надеюсь, что это помогает кому-то.