我刚刚在新的grails项目中添加了注册功能。 为了进行测试,我通过提供电子邮件和密码进行注册。 我在将密码保存到数据库之前使用bcrypt算法对密码进行哈希处理。

但是,当我尝试使用与注册时相同的电子邮件地址和密码登录时,登录失败。 我调试了该应用程序,发现当我尝试与数据库中已哈希的密码进行比较时,为同一密码生成的哈希值有所不同,因此登录失败( LoginController中的Registration.findByEmailAndPassword(params.email,hashPassd) .groovy返回null )。

这是我的域类Registration.groovy:

class Registration {

   transient springSecurityService

   String fullName
   String password
   String email

   static constraints = {
      fullName(blank:false)
      password(blank:false, password:true)
      email(blank:false, email:true, unique:true)
   }

   def beforeInsert = {
      encodePassword()
   }

   protected void encodePassword() {
      password = springSecurityService.encodePassword(password)
   }
}

这是我的LoginController.groovy:

class LoginController {

   /**
    * Dependency injection for the springSecurityService.
    */
   def springSecurityService

   def index = {
      if (springSecurityService.isLoggedIn()) {
         render(view: "../homepage")
      }
      else {
         render(view: "../index")
      }
   }

   /**
    * Show the login page.
    */
   def handleLogin = {

      if (springSecurityService.isLoggedIn()) {
         render(view: "../homepage")
         return
      }

      def hashPassd = springSecurityService.encodePassword(params.password)
      // Find the username
      def user = Registration.findByEmailAndPassword(params.email,hashPassd)
      if (!user) {
         flash.message = "User not found for email: ${params.email}"
         render(view: "../index")
         return
      } else {
         session.user = user
         render(view: "../homepage")
      }
   }
}

这是我的Config.groovy中的一个片段,告诉grails使用bcrypt算法来哈希密码和密钥轮次:

grails.plugins.springsecurity.password.algorithm = 'bcrypt'
grails.plugins.springsecurity.password.bcrypt.logrounds = 16

===============>>#1 票数:38 已采纳

Jan是正确的-设计上的bcrypt不会为每个输入字符串生成相同的哈希。 但是,有一种方法可以检查散列密码是否有效,并将其合并到关联的密码编码器中。 因此,在控制器中为passwordEncoder bean添加一个依赖项注入( def passwordEncoder )并将查找更改为

def handleLogin = {

   if (springSecurityService.isLoggedIn()) {
      render(view: "../homepage")
      return
   }

   def user = Registration.findByEmail(params.email)
   if (user && !passwordEncoder.isPasswordValid(user.password, params.password, null)) {
      user = null
   }

   if (!user) {
      flash.message = "User not found for email: ${params.email}"
      render(view: "../index")
      return
   }

   session.user = user
   render(view: "../homepage")
}

请注意,您不对isPasswordValid调用的密码进行编码-传递明文提交的密码。

另外-完全无关-将用户存储在会话中是个坏主意。 auth主体很容易获得,并存储用户ID,以便轻松根据需要重新加载用户(例如User.get(springSecurityService.principal.id) 。当您处于开发状态时,存储断开连接的潜在大型Hibernate对象将在dev模式下工作得很好。仅用于服务器的用户,但可能会浪费大量内存,并迫使您处理断开连接的对象(例如,必须使用merge等)。

===============>>#2 票数:20

BCrypt哈希包含 ,因此该算法针对同一输入返回不同的哈希。 请允许我在Ruby中进行演示。

> require 'bcrypt'
> p = BCrypt::Password.create "foobar"
=> "$2a$10$DopJPvHidYqWVKq.Sdcy5eTF82MvG1btPO.81NUtb/4XjiZa7ctQS"
> r = BCrypt::Password.create "foobar"
=> "$2a$10$FTHN0Dechb/IiQuyeEwxaOCSdBss1KcC5fBKDKsj85adOYTLOPQf6"
> p == "foobar"
=> true
> r == "foobar"
=> true

因此,BCrypt无法以您的示例中介绍的方式用于查找用户。 应该使用替代的明确字段,例如用户名或电子邮件地址。

  ask by adit translate from so

未解决问题?本站智能推荐: