Можно ли декодировать пароли из BCrypt?

Question

Орхан Гасанлы @azerphoenix

Java Software Engineer

Java
Spring

Можно ли декодировать пароли из BCrypt?

При регистрации пароль кодируется (BCryptPasswordEncoder) и хранится в виде хеша в БД. Если пароль обновляется, то сравниваю 2 хэша и в случае несовпадения обновляю их.
Теперь, чуть другая история - в БД хранится логин и пароль доступа к сайтам. Я их тоже кодирую в BCrypt. НО! Мне необходимо их доставать из БД и передавать в качестве параметра при работе с REST API. Соответственно, можно ли декодировать эти данные? Или мне придется подключить друго encoder/decoder с возможностью устанавливать свои "соли" и если да, то какой подойдет для этого лучше?
Заранее спасибо

P.S.
Код, который я использую для сравнения хеша

Посмотреть

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();  
encoder.matches(password, user.getPassword());

Вопрос задан более трёх лет назад
6100 просмотров

2 комментария

Подписаться 1 Простой 2 комментария

guitar_it @guitar_it

Эта фигня работает по такой схеме: человек вводит пароль, он кодируется по сгенерированному алгоритму и сохраняется в таблице БД, поэтому при авторизации когда человек вводит пароль, идет поиск по никнейму БД, там поднимается способ кодирования и кодируется, а после сверяется с тем, что в БД лежит, если есть совпадение, то пропускает на сайт, если нет, то выдает типо "не правильно введен пароль". Для смены пароля надо указать будет пароль, если будет совпадение, то начнется скрипт замены информации в ячейки таким же образом типо и всё. Это если я правильно понял суть вопроса.

Написано более трёх лет назад
Орхан Гасанлы @azerphoenix Автор вопроса, куратор тега Java

guitar_it, Да, благодарю за ответ. Уже давно разобрался в этом вопросе, но ваш ответ будет полезен тем, кто столкнется с этим.

Написано более трёх лет назад

Решения вопроса 2

1 комментарий

3 комментария

Орхан Гасанлы @azerphoenix Автор вопроса, куратор тега Java

благодарю за ответ, примерно этого я и ожидал) А как же тогда хранить логин и пароль в зашифрованном виде в БД и только по необходимости доставать из БД в расшифрованном виде для получения доступа к сайту, например?)

Написано более трёх лет назад
Андрей Буров @BuriK666

azerphoenix, Ну например шифровать их с помощью AES, а ключик хранить в каком-нибудь другом надежном месте. Или если это API позволяет получить токен, то хранить только токен.

Написано более трёх лет назад
Орхан Гасанлы @azerphoenix Автор вопроса, куратор тега Java

Андрей Буров, Спасибо. Теперь, примерно представляю, что необходимо сделать.

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Android

+3 ещё

Средний
Как получить разрешение для автостарта (чтобы при старте оно загружалось) для приложения под Андройд (Android)?
- 1 подписчик
- 2 часа назад
- 27 просмотров
0

ответов
Java

Простой
Как сделать глобальный чат Chatty?
- 1 подписчик
- 20 апр.
- 64 просмотра
0

ответов
Java

+2 ещё

Простой
Selenide + Spring Boot. Как объявить страницу через метод open(), если класс страницы является bean?
- 1 подписчик
- 19 апр.
- 36 просмотров
0

ответов
Java

+1 ещё

Простой
Почему не видит WebSecurityConfigurerAdapter при попытке импортировать его в класс SecurityConfig?
- 1 подписчик
- 19 апр.
- 52 просмотра
1

ответ
Java

Простой
Почему происходит два пустых вывода при чтении с клавиатуры?
- 1 подписчик
- 19 апр.
- 44 просмотра
1

ответ
Java

+3 ещё

Средний
Пытаюсь подключиться к postgresql 16 через docker-compose, использую spring-boot 3.2.4, что не так?
- 1 подписчик
- 17 апр.
- 191 просмотр
3

ответа
Java

+1 ещё

Простой
Как правильно внедрять зависимости в классы, зависящие от не-бинов?
- 1 подписчик
- 16 апр.
- 70 просмотров
1

ответ
Python

+1 ещё

Простой
Возможно ли соединить работающий java код и так же работающий скрипт python?
- 1 подписчик
- 15 апр.
- 222 просмотра
3

ответа
Java

+2 ещё

Простой
Как заставить Tomcat работать c utf-8 и кириллицей?
- 1 подписчик
- 14 апр.
- 62 просмотра
0

ответов
Java

+2 ещё

Простой
Как правильно вывести подблок с данными на странице?
- 1 подписчик
- 14 апр.
- 30 просмотров
1

ответ
Показать ещё Загружается…

Lead Java

Bell Integrator • Хабаровск

До 400 000 ₽

Lead Java

Bell Integrator • Ульяновск

До 400 000 ₽

Java-разработчик

ДАЛЕЕ

от 200 000 ₽

Разработать видеочатбота с ответами на вопросы абитуриентов

23 апр. 2024, в 17:07

6500 руб./за проект

Разработать прототип для бч Solana

22 апр. 2024, в 16:15

18000 руб./за проект

Wagtail(Django)

23 апр. 2024, в 16:55

10000 руб./за проект

Эта фигня работает по такой схеме: человек вводит пароль, он кодируется по сгенерированному алгоритму и сохраняется в таблице БД, поэтому при авторизации когда человек вводит пароль, идет поиск по никнейму БД, там поднимается способ кодирования и кодируется, а после сверяется с тем, что в БД лежит, если есть совпадение, то пропускает на сайт, если нет, то выдает типо "не правильно введен пароль". Для смены пароля надо указать будет пароль, если будет совпадение, то начнется скрипт замены информации в ячейки таким же образом типо и всё. Это если я правильно понял суть вопроса.
guitar_it, Да, благодарю за ответ. Уже давно разобрался в этом вопросе, но ваш ответ будет полезен тем, кто столкнется с этим.

Answer 1 · 2018-11-07 05:01:06

хэши не предполагают обратимость, вам нужно шифрование.
помимо этого, многие апи позволяют сгенерировать токен для доступа с ограниченным функционалом.

Answer 2 · 2018-11-07 04:47:33

Андрей Буров @BuriK666

Компьютерный псих

Никак. https://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D...

Вам даже свои соли не помогут.

Ответ написан более трёх лет назад

3 комментария

Можно ли декодировать пароли из BCrypt?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт