登录时验证BCrypt哈希密码
问题描述 投票:0回答:1
我正在使用net beans IDE来创建我的Login表单和servlet。我使用BCrypt哈希方法来保护密码,当它存储在数据库中并且成功时。但是当我要登录时,它总是说“证书无效”
我怎么能解决这个问题
这是我的CompanyLoging.jsp
<%@page contentType="text/html" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html lang="en">
<head>
</head>
<body style="background-color: #666666;">
<%
Cookie[] cookies=request.getCookies();
String email = "", password = "",rememberVal="";
if (cookies != null) {
for (Cookie cookie : cookies) {
if(cookie.getName().equals("cookuser")) {
email = cookie.getValue();
}
if(cookie.getName().equals("cookpass")){
password = cookie.getValue();
}
if(cookie.getName().equals("cookrem")){
rememberVal = cookie.getValue();
}
}
}
%>
<div class="limiter">
<div class="container-login100">
<div class="wrap-login100">
<form class="login100-form validate-form" action="CompanyLogin" method="post">
<span class="login100-form-title p-b-43">
Login to continue
</span>
<div class="wrap-input100 validate-input" data-validate = "Valid email is required: [email protected]">
<input class="input100" type="text" name="email" >
<span class="focus-input100"></span>
<span class="label-input100">Email</span>
</div>
<div class="wrap-input100 validate-input" data-validate="Password is required">
<input class="input100" type="password" name="pass" autocomplete="off">
<span class="focus-input100"></span>
<span class="label-input100">Password</span>
</div>
<div class="flex-sb-m w-full p-t-3 p-b-32">
<div class="contact100-form-checkbox">
<label>Remember me?</label>
<input type="checkbox" name="remember_me" value="1" <%="1".equals(rememberVal.trim()) %>>
</div>
<div>
<a href="#" class="txt1">
Forgot Password?
</a>
</div>
</div>
<div class="container-login100-form-btn">
<button class="login100-form-btn">
Login
</button>
</div>
<div class="text-center p-t-46 p-b-20">
<span class="login100-form-btn2">
or <a href="CompanyReg.jsp">sign up</a>
</span>
</div>
</form>
<div class="login100-more" style="background-image: url('resources/Company/CompanyLogin/images/bg-01.jpg');">
</div>
</div>
</div>
</div>
</body>
</html>
这是我的CompanyLog.java
protected void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String email = request.getParameter("email");
String password = request.getParameter("pass");
String hashPass = BCrypt.hashpw(password, BCrypt.gensalt(12));
try
{
connection = Connector.ConnectDb();
PreparedStatement pst = connection.prepareStatement("SELECT * FROM Company WHERE Email= '"+email+"' AND Password='"+hashPass+"'");
ResultSet rs = pst.executeQuery();
if (rs.next())
{
if(request.getParameter("remember_me") != null)
{
String remember = request.getParameter("remember_me");
Cookie cemail = new Cookie("cookuser", email.trim());
Cookie cPassword = new Cookie("cookpass", password.trim());
Cookie cRemember = new Cookie("cookrem", remember.trim());
cemail.setMaxAge(60 * 60 * 24 * 15);//15 days
cPassword.setMaxAge(60 * 60 * 24 * 15);
cRemember.setMaxAge(60 * 60 * 24 * 15);
response.addCookie(cemail);
response.addCookie(cPassword);
response.addCookie(cRemember);
}
HttpSession httpSession = request.getSession();
httpSession.setAttribute("sessuser", email.trim());
RequestDispatcher requestDispatcher = request.getRequestDispatcher("CompanyDashboard.jsp");
requestDispatcher.forward(request, response);
}
else
{
PrintWriter out=response.getWriter();
out.println("<script type=\"text/javascript\">");
out.println("alert('Invalid Credentials');");
out.println("location='CompanyLogin.jsp';");
out.println("</script>");
}
}
catch (IOException | SQLException | ServletException e)
{
PrintWriter out=response.getWriter();
out.println("Error : " + e);
}
}
这是我的数据库的样子
1个回答
2
投票
投票
您尚未发布应用程序的注册部分,但我怀疑该问题是由您的登录部分中的以下行引起的:
String hashPass = BCrypt.hashpw(password, BCrypt.gensalt(12));
这会为新盐创建密码哈希。当然,这与注册部分中创建的密码哈希不匹配(并存储在数据库的Password-field中),因为即使密码匹配,盐也会不同。因此,您不必创建新的盐,而是必须使用已存储在数据库中的盐:
String hashPass = BCrypt.hashpw(password, storedSalt);
原则上,盐可以从存储的BCrypt-hash重建(如果您对此感兴趣,BCrypt-hash的格式在How can bcrypt have built-in salts?和here中详细解释)。
但是,有一种更简单的方法(这也是预期的方式):您可以使用BCrypt#checkpw方法:
boolean isAuthenticated = BCrypt.checkpw(candidatePassword, passwordHash);
在这里,candidatePassword是要检查的密码。 passwordHash是BCrypt-hash(存储在数据库的Password-field中)。如果密码匹配,则返回true。
如果使用此方法,则必须相应地调整数据库访问,例如类似的东西(尚未测试!):
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String email = request.getParameter("email");
String password = request.getParameter("pass");
try {
connection = Connector.ConnectDb();
PreparedStatement pst = connection.prepareStatement("SELECT * FROM Company WHERE Email= '"+email+"'");
ResultSet rs = pst.executeQuery();
while (rs.next()) {
if (BCrypt.checkpw(password, rs.getString("Password"))) {
...
最新问题
- 使用角度发射将数据发送到不同的组件
- 加载大型 BPF 程序失败,并显示“参数列表太长”和“已处理 0 个 insns”
- Python 子进程 - OSError: [Errno 7] 参数列表太长: 'perl'
- list += 'string' 和 list += ['string'] 的区别
- 用putty获取nodejs的输出用什么命令?
- 事件侦听器不适用于 <select> 元素
- 使用控制台和文件附加器的非常简单的 log4j2 XML 配置文件
- 未捕获的类型错误:项目未定义chart.js
- 视频通话时前后置摄像头之间切换
- 未捕获(承诺中)错误:System.ArgumentException:没有与此事件关联的事件处理程序。事件 ID:'4'"
- 如何在 ASP.NET Core 中使用 AuthorizationHandler 处理未经授权的 API 调用
- 如何引用另一个JSON Schema?
- 为什么我会收到下载属性错误?
- 如何确保在我的测试脚本中所有用户同时运行特定请求?
- 使用masstransit在rabbitmq中的队列所需的最小只写权限
- SoundCloud 嵌入式播放器的下载不再起作用了吗?
- 使用AWS go sdk解密AWL Lambda环境变量时出现InvalidCiphertextException
- 如何引导结果表的所有列值(计数会发生变化)并将该值存储在 TOSCA 中的输出文件中
- 单元“用不同版本的单元X编译”...Freepascal中的规则与Delphi中的规则完全相同吗?
- 如何在 python argparse 中获取字符串参数的“符号
© www.soinside.com 2019 - 2024. All rights reserved.