Spring Boot 密码 bcrypt 编码器：编码值与在线生成的不匹配

Posted 2023-05-07

【中文标题】Spring Boot 密码 bcrypt 编码器：编码值与在线生成的不匹配

【英文标题】：Spring Boot password bcrypt encoder: encoded value doesn't match with the online generated one

【发布时间】：2020-01-07 16:05:19

【问题描述】：

在 Spring Boot 2 项目中，我使用 bcrypt 密码编码器根据 LDAP 目录对用户进行身份验证。密码存储在 LDIF 文件中，因此以散列形式存储在目录中，使用 bcrypt。为了确定我需要存储在 LDIF 文件中的每个密码的哈希值，以便加载到目录中，我使用了这个生成器：https://bcrypt-generator.com。

因此，我为用户密码生成哈希值，并将生成的值存储在 LDIF 文件中。然后，我尝试使用 Spring LDAP 密码比较执行身份验证。但是身份验证失败，因为 Spring 和提到的站点为相同的密码计算了不同的 bcrypt 哈希。

当然，使用 Spring encode() 函数计算的哈希值是有效的。所以我的问题是：

为什么使用相同的算法、相同的输入值和相同的参数，两个本应等效的实现却提供不同的结果？ 应该如何生成哈希值，因为 Spring 似乎没有提供任何生成器，并且公共生成器生成的值与 Spring 计算的值不匹配？

非常感谢。

尼古拉斯

【问题讨论】：

LDAP“比较”操作不起作用，因为它需要完全匹配并且（如您所见）bcrypt 每次都会使用不同的盐并产生不同的哈希值。我认为您的 LDAP 服务器需要原生支持 bcrypt 哈希以用于“绑定”身份验证。

【参考方案1】：

为什么使用相同的算法、相同的输入值和相同的参数，两个本应等效的实现却提供不同的结果？

bcrypt 为相同的输入产生不同的输出是正常的（例如，参见https://***.com/a/8467877/1384297），因此可以预期不同的哈希值。

既然 Spring 似乎没有提供任何生成器，应该如何生成哈希值

Spring Boot 的 CLI 包含一个 encodepassword 命令，可用于生成 bcrypt 编码的密码：

$ spring encodepassword secret
bcrypt$2a$10$bhY3U6LEvbJ7DdWrcPqBu.vtLFPqDCgDGpTmyWrAVBcMANQzI/4Xy

https://bcrypt-generator.com 报告 $2a$10$bhY3U6LEvbJ7DdWrcPqBu.vtLFPqDCgDGpTmyWrAVBcMANQzI/4Xy 和 secret 的匹配项。

【讨论】：

感谢您的回复。 spring encodepassword 是什么样的命令？应该如何安装它，从哪里安装，等等。在寻找它时，我什么也没找到。亲切的问候，尼古拉斯

这是 Spring Boot 的 CLI 提供的命令。您可以在relevant section of the reference documentation 中了解如何安装 CLI。