Можно ли декодировать пароли из BCrypt?

Question

[Орхан Гасанлы]

При регистрации пароль кодируется (BCryptPasswordEncoder) и хранится в виде хеша в БД. Если пароль обновляется, то сравниваю 2 хэша и в случае несовпадения обновляю их.
Теперь, чуть другая история - в БД хранится логин и пароль доступа к сайтам. Я их тоже кодирую в BCrypt. НО! Мне необходимо их доставать из БД и передавать в качестве параметра при работе с REST API. Соответственно, можно ли декодировать эти данные? Или мне придется подключить друго encoder/decoder с возможностью устанавливать свои "соли" и если да, то какой подойдет для этого лучше?
Заранее спасибо

P.S.
Код, который я использую для сравнения хеша

Посмотреть

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();  
encoder.matches(password, user.getPassword());

Comments

[guitar_it]

Эта фигня работает по такой схеме: человек вводит пароль, он кодируется по сгенерированному алгоритму и сохраняется в таблице БД, поэтому при авторизации когда человек вводит пароль, идет поиск по никнейму БД, там поднимается способ кодирования и кодируется, а после сверяется с тем, что в БД лежит, если есть совпадение, то пропускает на сайт, если нет, то выдает типо "не правильно введен пароль". Для смены пароля надо указать будет пароль, если будет совпадение, то начнется скрипт замены информации в ячейки таким же образом типо и всё. Это если я правильно понял суть вопроса.

[Орхан Гасанлы]

guitar_it, Да, благодарю за ответ. Уже давно разобрался в этом вопросе, но ваш ответ будет полезен тем, кто столкнется с этим.

Answer 1

[DevMan]

хэши не предполагают обратимость, вам нужно шифрование.
помимо этого, многие апи позволяют сгенерировать токен для доступа с ограниченным функционалом.

Comments

[Орхан Гасанлы]

Добрый день! Большое спасибо.

Answer 2

[Андрей Буров]

Никак. https://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D...

Вам даже свои соли не помогут.

Comments

[Орхан Гасанлы]

благодарю за ответ, примерно этого я и ожидал) А как же тогда хранить логин и пароль в зашифрованном виде в БД и только по необходимости доставать из БД в расшифрованном виде для получения доступа к сайту, например?)

[Андрей Буров]

azerphoenix, Ну например шифровать их с помощью AES, а ключик хранить в каком-нибудь другом надежном месте. Или если это API позволяет получить токен, то хранить только токен.

[Орхан Гасанлы]

Андрей Буров, Спасибо. Теперь, примерно представляю, что необходимо сделать.