У меня возникают проблемы с получением пароля в виде открытого текста и предыдущего хеша для сопоставления с использованием метода BCrypt checkpw (plaintextpw, previoushash).
В сервлете регистрации я беру введенный пароль, хэширую его с помощью метода BCrypt hashpw (password, genSalt) и сохраняю его в базе данных.
В сервлете входа в систему я беру этот хэш из базы данных и использую BCrypt checkpw, чтобы проверить, соответствует ли он введенному паролю.
Это никогда не совпадает. Это отлично работает в моем обычном java-приложении, но не в веб-приложении. Ни у кого больше нет этой проблемы, поэтому я полагаю, что, должно быть, делаю это неправильно:
//RegisterServlet
String pw_hash = BCrypt.hashpw(request.getParameter("password"), BCrypt.gensalt());
String loginInsertString = "insert into login (loname,lopassword,locustomerid)" +
" VALUES ('" + username + "','" + pw_hash + "','" + loginInsert + "');";
//LoginServlet
ResultSet rs = stmt.executeQuery("select lopassword from login where loname = '" +
loginName + "';");
while( rs.next()){
dbhash = rs.getString(1);
}
out.println(dbhash+"<br>");
if (BCrypt.checkpw(request.getParameter("password"), dbhash)) {
out.println("It matches");
}else{
out.println("It does not match");
}
BCrypt API очень прост - здесь
Я не храню соль, потому что с BCrypt вам якобы не нужно - так что я делаю не так?