我是 Kotlin 和 Ktor 的新手,当我尝试为我的 Web 应用程序实施身份验证时,我需要为用户存储密码。但是,我似乎无法通过 Ktor Core 或外部 java 依赖项找到一种方法来散列密码并验证它们。
我发现了一些关于如何使用 BCrypt 或 PBKDF2 进行散列的文章,但这些要求我自己进行散列实现,这似乎不安全,因为我不得不担心维护它。
password_hash()和password_verify())【问题讨论】:
标签: java gradle kotlin password-hash ktor
我曾这样使用jBCrypt:
build.gradle 添加:
// current jbcrypt_version is 0.4
compile group: 'org.mindrot', name: 'jbcrypt', version: jbcrypt_version
然后创建您的用户数据库记录保存密码哈希,如下所示:
import org.mindrot.jbcrypt.BCrypt
...
fun setPassword(user: User) {
user.passwordHash = BCrypt.hashpw(password, BCrypt.gensalt())
}
检查密码时:
user = findUserByUsername(username=usernameToCheck)
if (!user)
return ...
if (!BCrypt.checkpw(user.passwordHash, passwordToCheck))
return ...
// user/password validated
注意:jBCrypt 盐与密码哈希中的一些元数据一起保存。示例:
salt=$2a$10$e9kAuRN/PARzXnNdnghiSO
hash=$2a$10$e9kAuRN/PARzXnNdnghiSOjfShrH9rrGQtfrAIj06LZ7ZW1MW7bEy
【讨论】:
我用这个:https://github.com/patrickfav/bcrypt
我如何使用:
get("/auth") {
val password = "pardonme"
val hashPassword = BCrypt.withDefaults().hashToString(12, password.toCharArray())
val result = BCrypt.verifyer().verify(password.toCharArray(), hashPassword)
// print it out and copy it, in case you want to test
call.respondText("HashPassword: $hashPassword\nResult: $result")
}
然后你就可以测试了:
get("/auth") {
val password = "pardonme"
val hashPassword = "ur previous hashPassword"
val result = BCrypt.verifyer().verify(password.toCharArray(), hashPassword)
call.respondText("Result: $result")
}
您可以通过上面的链接查看更多信息!
【讨论】: