Spring Security - 使用 BCrypt 哈希密码进行用户身份验证（错误凭据错误）

Question

注册新用户后，数据库中生成的哈希密码与用户输入的密码不匹配，以便进行身份验证。原始密码相同，但散列版本不同。我想知道如何让这两者相互匹配以进行正确的身份验证？我使用 Spring 4.3.2.RELEASE 和 4.2.0.RELEASE 来保证安全性。

我还有一个警告：

WARN SpringSecurityCoreVersion:78 - **** You are advised to use Spring 4.3.4.RELEASE or later with this version. You are running: 4.3.0.RELEASE

也许这会导致某种问题。

config.xml：

<bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

<security:authentication-manager>
    <security:authentication-provider user-service-ref="userService">
        <security:password-encoder ref="encoder"/>
    </security:authentication-provider>
</security:authentication-manager>

<bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <property name="userDetailsService" ref="userService" />
    <property name="hideUserNotFoundExceptions" value="false" />
    <property name="passwordEncoder" ref="encoder" />
</bean>

<bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">
    <constructor-arg>
        <ref bean="daoAuthenticationProvider" />
    </constructor-arg>
</bean>

UserEntity.java：

public void setPassword(String password) {
    BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
    this.password = passwordEncoder.encode(password);
}

UserAuthenticationProviderService.java：

public boolean processUserAuthentication(UserEntity user) {

    try {
        Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        Authentication result = authenticationManager.authenticate(request);
        SecurityContextHolder.getContext().setAuthentication(result);

        return true;
    } catch(AuthenticationException e) {
        FacesContext.getCurrentInstance().addMessage(null, 
                new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Catched Error!"));

        return false;
    }
}

编辑：已解决。

正如 Shaun 所说，问题在于实体类中的编码。将编码移动到用户创建位置后一切正常，因为编码现在只出现在用户创建过程中。谢谢！

Answer 1

是的，您注意到在 BCryptEncoder 对同一字符串进行 2 次编码后，您将得到不同的字符串。但是 Spring Security 不使用等于的匹配。当你注册你的编码器时，SPring Security 会使用 PasswordEncoder 中的boolean matches(CharSequence rawPassword, String encodedPassword)（BCryptEncoder 实现了这个接口）。

如果您对细节感兴趣，可以查看 BCrypt 的实现，非常简单：

static boolean equalsNoEarlyReturn(String a, String b) {
        char[] caa = a.toCharArray();
        char[] cab = b.toCharArray();

        if (caa.length != cab.length) {
            return false;
        }

        byte ret = 0;
        for (int i = 0; i < caa.length; i++) {
            ret |= caa[i] ^ cab[i];
        }
        return ret == 0;
    }