我试图在我的Play 2.1中使用BCrypt实现身份验证。Java应用程序,但是当我试图验证用户时,我得到Invalid salt version exception。
这是我的堆栈跟踪
play.api.Application$$anon$1: Execution exception[[IllegalArgumentException: Invalid salt version]]
at play.api.Application$class.handleError(Application.scala:289) ~[play_2.10.jar:2.1.0]
at play.api.DefaultApplication.handleError(Application.scala:383) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:132) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:128) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
java.lang.IllegalArgumentException: Invalid salt version
at org.mindrot.jbcrypt.BCrypt.hashpw(BCrypt.java:664) ~[jbcrypt-0.3m.jar:na]
at org.mindrot.jbcrypt.BCrypt.checkpw(BCrypt.java:763) ~[jbcrypt-0.3m.jar:na]
at model.operations.DistrictOperations.authenticate(DistrictOperations.java:24) ~[na:na]
at controllers.Application.authenticateDistrict(Application.java:26) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
我使用以下maven存储库:http://mvnrepository.com/artifact/org.mindrot/jbcrypt/0.3m
我的代码基于文档,因此
district.setPassword(BCrypt.hashpw(json.findPath("password").getTextValue(), BCrypt.gensalt()));
保存密码(我也检查密码为空)
BCrypt.checkpw(password, d.getPassword());
检查输入的密码是否正确,其中password为String, d.getPassword()为散列密码。
我不知道这是相关的信息,但准确地说,我使用hibernate为ORM和PostgreSQL 8.4作为DB。
我被困在这里了,所以我想问一下是否有人可以帮助我。
对于遇到相同异常的其他人,检查您是否有正确的BCrypt.checkpw参数。(我没有,因此在我意识到我的愚蠢错误之前发现了这个问题。)
或者正如OP自己回答的那样,记录/调试哈希密码的值,以双重检查您实际上是在比较哈希密码!它应该是一个60个字符的字符串,格式为$2a$10$llw0G6IyibUob8h5XRt9xuRczaGdCm/AiV6SSjf5v78XS824EGbh.
很抱歉为这个问题烦恼。我在代码中只有一个bug,它将普通字符串保存到DB而不是BCrypted。它是从代码的其他部分调用的
jBcrypt太老了,实际上没有得到维护。请考虑切换到该库的新实现来处理新的$2y$版本。
我使用这个纯Java库https://github.com/patrickfav/bcrypt解决了这个问题,并将其添加到我当前的Scala项目中。
使用以下函数,我最终可以验证用VERSION_2Y创建的哈希值:
/**
* Verifies an encrypted password against the expected value
*
* @link https://github.com/patrickfav/bcrypt
* @param hash The hashed password (encypted with BCrypt version $2Y$)
* @param password The unencrypted password string
*/
private def verifyBcryptHash(hash: String, password: String): Boolean = {
if (hash == null || hash.trim.isEmpty)
false
else
BCrypt
.verifyer()
.verifyStrict(
password.toCharArray(),
hash.toCharArray(),
BCrypt.Version.VERSION_2Y
)
.verified
}
我遇到了同样的问题;确保密码以散列格式存储在数据库中,而不是纯文本。下面是一个Bcrypt生成器,可以将您的纯文本密码转换为Bcrypt哈希。
您必须确保第一个参数是明文,第二个参数是散列密码。这是函数的声明:
public static boolean checkpw(String plaintext, String hashed)
如果您传递给checkpw(password, hash)的'哈希'值甚至不是可破译的值
在我的例子中,我使用{bcrypt}作为插入到db中的前缀。
{bcrypt}$2a$12$Yb3YagKV8B3AXoY2p/Ldk.L2maVKfNlr2dedk4ZUs/YUlalS8EzYu
当我检索密码时,将返回包括prefix在内的整个值。因此,我从hashing值中排除了前缀。
String prefix= "{bcrypt}";
String hash_pw= user.getPassword().substring((prefix.length());
BCrypt.checkpw(loginRequest.getPassword(),hash_pw);
可以拆分{bcrypt},并使用
BCrypt.checkpw("123", "$2a$10$lVPvO6zyyxEWEPlKBg5B3OTjUHGS4LZ2jlulWAUpOjGz3.helz9H2");
在我的例子中,由于将来自https://bcrypt-generator.com的散列密码应用到服务器的bcrypt检查器(spring java security)中,我得到了这个盐修订错误。但是,使用来自https://www.javainuse.com/onlineBcrypt的散列的另一个相同的普通密码,它可以工作并验证密码。日志轮配置相同(16)。
我认为我的情况是因为使用了不同的bcrypt编码器,尽管有些人可能使用不同的编码器。
但是,如果bcrypt生成器和检查器来自同一库,则可以保证散列密码不会出现此问题。
我昨天在使用bcryptjs时遇到了这个错误。我发现这个错误是因为在我的环境变量中定义的salt是作为字符串传入的,而bcrypt期望的是一个数字。所以我把它转换成一个数字,问题就解决了。
const hashedPassword = await hash(password, +config.SALT);
// +config.SALT the + sign before the config did the conversion.