如何解决如何解析Spring Security散列的密码哈希?
我想将用户从我的应用程序迁移到外部SSO。我希望用户保留其现有密码,所以我想检索哈希密码并将其提供给SSO应用程序。双方的算法都相同(pbkdf2-sha256),因此应该可以使用。
因此,我需要能够从数据库中的条目中检索盐和哈希密码。
我的应用程序使用Spring Security。
似乎我需要手动执行此操作,因为Pbkdf2PasswordEncoder实现的PasswordEncoder接口没有提供从存储的值中检索初始元素的方法。
实现此目标的正确方法是什么?
谢谢
编辑:
这是我的代码
Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder("",27500,512);
String encoded = encoder.encode("password");
System.out.println(encoded); // prints the hex encoded hashed password: 2a319aaf0252d77e671cf1b074f149f7eed1b362afb47bef84e9b01a8140b26a733cd22df007d68668915c7bd51af9eefda1662216a184fa7eb034c176ce9518fc83f3fd935a2d3d
final byte[] digested = Hex.decode(encoded);
byte[] salt = EncodingUtils.subArray(digested,7);
byte[] password = EncodingUtils.subArray(digested,8,digested.length);
System.out.println(new String(Base64.getEncoder().encode(salt))); // prints KjGarwJS134=
System.out.println(new String(Base64.getEncoder().encode(password))); // prints HPGwdPFJ9+7Rs2KvtHvvhOmwGoFAsmpzPNIt8AfWhmiRXHvVGvnu/aFmIhahhPp+sDTBds6VGPyD8/2TWi09
如果我随后转到this website并输入以下值:
- 主密码:密码
- 盐:KjGarwJS134 =
- 迭代:27500
- dkLen:512
- PBE密码:sha256
然后,我希望输出与代码的最后输出匹配,但事实并非如此。
解决方法
您显然无法从哈希中取回密码,但是我认为您不是在问这个问题。这是您的操作方式:
- 首先检查它是否为base64。如果是这样,请使用您的字符串并对其进行base64解码,然后将其转换为字节数组。 (默认设置为十六进制半字节,即选项2)。
- 如果不是,那只是十六进制的。你可以说;如果整个内容仅由数字和字母a-f组成,则为此,否则为#1(base64)。将十六进制半字节解析回字节数组相当简单;通过parseInt每2个字符掷一次:
Integer.parseInt(in.substring(x,x + 2),0x10);-最后的0x10很重要。 - 以此形式获得的字节数组是按顺序排列的盐和哈希值。默认情况下,salt为8字节,但这都可以在spring中进行配置。因此,从数组中删除前8个字节-这就是您的工作。
- 其余只是原始哈希。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。