BCryptPasswordEncoderから元のパスワードを取得する方法

Question

私のアプリケーションには春のセキュリティが使用されています。ユーザーが初めて登録すると、パスワードはBCryptPasswordEncoderで暗号化されます。

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); 
String hashedPassword = passwordEncoder.encode(password); 

さて、パスワードの変更の場合には、ユーザーが自分の現在のパスワードを入力し、私は、この現在のパスワードがデータベースに保存されている暗号化されたパスワードに対して同じであるかどうかを確認する必要があります。

BCryptPasswordEncoderと同じ文字列を持つ同じ暗号化されたハッシュを生成することはできません。したがって、パスワードが同じであればパスワードを比較する唯一の方法は、データベースに保存されている元のパスワードを取得し、現在入力されているパスワードと比較することです。

パスワードを比較したり、元のパスワードをデータベースの保存されたハッシュパスワードから取得する方法はありますか？

Answer 1

db内のエンコードされたパスワードに対して未処理のパスワードのみをチェックする必要があります。例えば、

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); 
String p = bCryptPasswordEncoder.encode("SomeCoolPassword"); 
System.out.println(bCryptPasswordEncoder.matches("SomeCoolPassword", p)); 

Answer 2

はい、passwordEncoderは同じハッシュを作成しませんが、あなたはそれらを比較することができ、そしてそれは、同じ文字列から生成された場合、それはtrueを返します。私の例を確認してください：

public class Test { 
    public static void main(String[] args) { 
     BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); 
     List<String> passwords = Arrays.asList(bCryptPasswordEncoder.encode("testPassword"), 
       bCryptPasswordEncoder.encode("testPassword"), 
       bCryptPasswordEncoder.encode("testPassword"), 
       bCryptPasswordEncoder.encode("testPassword")); 

     passwords.stream() 
       .filter(e -> bCryptPasswordEncoder.matches("testPassword", e)) 
       .forEach(e -> System.out.println(true)); 
    } 

}

と私は4 trueを取得します。