BCrypt.checkpw () Исключение недопустимой версии соли

Я пытаюсь реализовать аутентификацию с помощью BCrypt в моем Play 2.1. Приложение Java, но я получаю Invalid salt version exception, когда пытаюсь аутентифицировать пользователя.

Это моя трассировка стека

play.api.Application$$anon$1: Execution exception[[IllegalArgumentException: Invalid salt version]]
at play.api.Application$class.handleError(Application.scala:289) ~[play_2.10.jar:2.1.0]
at play.api.DefaultApplication.handleError(Application.scala:383) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:132) [play_2.10.jar:2.1.0]
at play.core.server.netty.PlayDefaultUpstreamHandler$$anon$2$$anonfun$handle$1.apply(PlayDefaultUpstreamHandler.scala:128) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
at play.api.libs.concurrent.PlayPromise$$anonfun$extend1$1.apply(Promise.scala:113) [play_2.10.jar:2.1.0]
java.lang.IllegalArgumentException: Invalid salt version
at org.mindrot.jbcrypt.BCrypt.hashpw(BCrypt.java:664) ~[jbcrypt-0.3m.jar:na]
at org.mindrot.jbcrypt.BCrypt.checkpw(BCrypt.java:763) ~[jbcrypt-0.3m.jar:na]
at model.operations.DistrictOperations.authenticate(DistrictOperations.java:24) ~[na:na]
at controllers.Application.authenticateDistrict(Application.java:26) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]
at Routes$$anonfun$routes$1$$anonfun$applyOrElse$2$$anonfun$apply$2.apply(routes_routing.scala:133) ~[na:na]

Я использую следующий репозиторий maven: http://mvnrepository.com/artifact/org.mindrot/jbcrypt/0.3m

Мой код основан на документации, поэтому

district.setPassword(BCrypt.hashpw(json.findPath("password").getTextValue(), BCrypt.gensalt()));

Для сохранения пароля (я также проверяю, что пароль нулевой)

BCrypt.checkpw(password, d.getPassword());

Для проверки правильности введенного пароля, где пароль - String, а d.getPassword () - хешированный пароль.

Я не знаю, актуальна ли это информация, но если быть точным, я использую спящий режим для ORM и PostgreSQL 8.4 в качестве БД.

Я как бы застрял здесь, поэтому я спрашиваю, может ли кто-нибудь мне помочь. Чем вы заранее.


java hibernate bcrypt jbcrypt playframework-2.1
person ziky90    schedule 10.05.2013    source источник

Ответы (9)


arrow_upward
16
arrow_downward

Мне очень жаль, что я задал этот вопрос. У меня была только одна ошибка в коде, который сохранял простую строку в БД вместо BCrypted. Он был полностью вызван из какой-то другой части кода.

person ziky90    schedule 10.05.2013
comment
У меня была аналогичная проблема. Я делал bcrypt.checkpw(hashpass,plainpass), а не наоборот. Чувствую себя действительно глупо. Надеюсь, этот комментарий заставит людей перепроверить. - person WISERDIVISOR; 01.03.2021

arrow_upward
15
arrow_downward

Если другие сталкиваются с тем же исключением, проверьте правильность параметров BCrypt.checkpw. (Я не нашел и поэтому нашел этот вопрос до того, как осознал свою глупую ошибку.)

Или, как ответил сам ОП, запишите / отладьте значение хешированного пароля, чтобы дважды проверить, что вы на самом деле сравниваете хешированный пароль! Это должна быть строка из 60 символов в формате $2a$10$llw0G6IyibUob8h5XRt9xuRczaGdCm/AiV6SSjf5v78XS824EGbh..

person flurdy    schedule 28.05.2013
comment
В частности: соль JBCrypt ожидает версии соли 2a, поэтому соль начинается с $ 2a $. Если вы использовали другую версию BCrypt, в которой используется более современная версия соли 2y или 2b - JBCrypt генерирует исключение. - person daphshez; 27.03.2017

arrow_upward
4
arrow_downward

Я столкнулся с той же проблемой; Убедитесь, что ваш пароль хранится в базе данных в хешированном формате, а не в виде обычного текста. Вот генератор Bcrypt для преобразования вашего простого текстового пароля в хэш Bcrypt.

person Ben    schedule 19.10.2015

arrow_upward
2
arrow_downward

Вы должны убедиться, что первый аргумент - это открытый текст, а второй - хешированный пароль. Это объявление функции:

 public static boolean checkpw(String plaintext, String hashed)
person Ouissal Benameur    schedule 29.05.2018

arrow_upward
2
arrow_downward

jBcrypt слишком стар и фактически не поддерживается. Пожалуйста, подумайте о переходе на новую реализацию этой библиотеки для работы с новыми $2y$ версиями.

Я решил это, используя эту чистую библиотеку Java https://github.com/patrickfav/bcrypt, добавив ее в моем текущем проекте Scala.

С помощью следующей функции я наконец могу проверить хэши, созданные с помощью VERSION_2Y:

  /**
    * Verifies an encrypted password against the expected value
    *
    * @link https://github.com/patrickfav/bcrypt
    * @param hash The hashed password (encypted with BCrypt version $2Y$)
    * @param password The unencrypted password string
    */
  private def verifyBcryptHash(hash: String, password: String): Boolean = {
    if (hash == null || hash.trim.isEmpty)
      false
    else
      BCrypt
        .verifyer()
        .verifyStrict(
          password.toCharArray(),
          hash.toCharArray(),
          BCrypt.Version.VERSION_2Y
        )
        .verified
  }
person sentenza    schedule 04.06.2019

arrow_upward
1
arrow_downward

BCrypt, кажется, бросает этот отвлекающий маневр, если значение "хеша", которое вы передаете в checkpw(password, hash), даже не является расшифровываемым значением.

person Black    schedule 17.05.2019

arrow_upward
1
arrow_downward

в моем случае я использовал {bcrypt} в качестве префикса при вставке в db.

экземпляр

{bcrypt}$2a$12$Yb3YagKV8B3AXoY2p/Ldk.L2maVKfNlr2dedk4ZUs/YUlalS8EzYu

когда я получу пароль, будет возвращено все значение, включая prefix. Поэтому я исключил префикс из значения hashing.

String prefix= "{bcrypt}";

String hash_pw= user.getPassword().substring((prefix.length());

BCrypt.checkpw(loginRequest.getPassword(),hash_pw);
person NafazBenzema    schedule 30.11.2020
comment
я обнаружил, что User.withDefaultPasswordEncoder помечен как устаревший, и он точно выводит (как показывает отладчик): {bcrypt} $ 2a $ 10 $ dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM / BG - person Sasha Bond; 27.02.2021
comment
используйте PasswordEncoderFactories.createDelegatingPasswordEncoder() для кодирования вашего пароля и укажите тип кодировки в качестве префикса. Если вы не используете механизм кодирования, укажите в качестве префикса {noop}. PasswordEncoderFactory идентифицирует ваш тип хеширования с помощью префикса - person NafazBenzema; 28.02.2021

arrow_upward
0
arrow_downward

Можете ли вы разделить {bcrypt} и попробовать другие детали, используя

BCrypt.checkpw("123", "$2a$10$lVPvO6zyyxEWEPlKBg5B3OTjUHGS4LZ2jlulWAUpOjGz3.helz9H2");
person ANJANA    schedule 22.03.2021
comment
Добро пожаловать в StackOverflow. Пожалуйста, позаботьтесь о том, чтобы ваш ответ был опубликован в правильном формате. Обратитесь к этому: как ответить - person Pawara Siriwardhane; 22.03.2021

arrow_upward
0
arrow_downward

В моем случае я получил эту ошибку пересмотра соли из-за применения хешированного пароля от https://bcrypt-generator.com в средство проверки bcrypt моего сервера (безопасность Spring Java). Однако с другим таким же простым паролем, но с хешированием от https://www.javainuse.com/onlineBcrypt, он работал и проверял пароль. Раунды регистрации настраиваются одинаково (16).

Я предположил, что мой случай связан с использованием другого кодировщика bcrypt, хотя некоторые могут работать с другим.

Но гарантировано, что хешированный пароль не имеет этой проблемы, если генератор bcrypt и средство проверки взяты из одной библиотеки.

person Nabil Asykar    schedule 12.07.2021