BCryptPasswordEncoder 判断密码是否相同

加密

BCryptPasswordEncoder encode = new BCryptPasswordEncoder();
encode.encode(password);

比较

matches(CharSequence rawPassword, String encodedPassword)    

需要通过自带的方法 matches 将未经过加密的密码和已经过加密的密码传进去进行判断，返回布尔值。

举例

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass); 
        System.out.println(hashPass);
 
        boolean flag = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(flag); 
    }
}

可以看到，每次输出的hashPass 都不一样，但是最终的flag都为 true,即匹配成功。

查看代码，可以看到，其实每次的随机盐，都保存在hashPass中。在进行matchs进行比较时，调用BCrypt 的String hashpw(String password, String salt)方法。两个参数即”admin“和 hashPass。

//******BCrypt.java******salt即取出要比较的DB中的密码*******
real_salt = salt.substring(off + 3, off + 25);
try {
// ***************************************************
    passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
}
catch (UnsupportedEncodingException uee) {}
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds);

假定一次hashPass为：$2a$10$AxafsyVqK51p.s9WAEYWYeIY9TKEoG83LTEOSB3KUkoLtGsBKhCwe

随机盐即为 AxafsyVqK51p.s9WAEYWYe（salt = BCrypt.gensalt();中有描述），可见，随机盐（AxafsyVqK51p.s9WAEYWYe），会在比较的时候，重新被取出。

即，加密的hashPass中，前部分已经包含了盐信息。