在Spring Security Grails插件中使用BCrypt密码哈希
我试图在使用Spring安全插件的Grails应用程序中使用BCrypt密码哈希。我通过在在Spring Security Grails插件中使用BCrypt密码哈希,grails,spring-security,grails-plugin,bcrypt,Grails,Spring Security,Grails Plugin,Bcrypt,我试图在使用Spring安全插件的Grails应用程序中使用BCrypt密码哈希。我通过在Config.groovy grails.plugins.springsecurity.password.algorithm = 'bcrypt' 我定义了以下编解码器,以简化使用BCrypt对Pasword进行编码的过程: public class PasswordCodec { // it doesn't seem to be possible to dependency-inject co
Config.groovygrails.plugins.springsecurity.password.algorithm = 'bcrypt'
public class PasswordCodec {
// it doesn't seem to be possible to dependency-inject codecs, so lookup the bean ourselves
@Lazy
private static PasswordEncoder passwordEncoder = Holders.grailsApplication.mainContext.getBean('passwordEncoder')
static encode = { str ->
passwordEncoder.encodePassword(str.toString(), null)
}
}
3.times { i ->
def username = "user$i"
def password = "secret".encodeAsPassword()
new User(username: username, password: password).save()
// also assign the user a role
}
很明显,我在这里做错了什么,但我不知道是什么?对于相同的输入,密码哈希值通常是相同的(并且偶尔使用不同的输入)但是bcrypt和其他人每次都会生成不同的散列。但是,这不是问题,因为
PasswordEncoderString encodepass(String rawPass,Object salt)boolean isPasswordValid(String encPass,String rawPass,Object salt)对于MD5、SHA-1等更简单的散列,验证过程只需重新编码明文密码并检查它是否与存储的散列值相同。使用bcrypt的过程要复杂得多,但最终结果是相同的-它不检查是否相等,而是检查它们是否相等。因此,如果对相同的密码两次,并与
isPasswordValidtruePasswordCodecnullisPasswordValid