Почему при сравнении 2-х хешей BCryptPasswordEncoder они могут не совпадать?

Question

[Орхан Гасанлы]

Здравствуйте!
Довольно странная штука... Раньше все работало, а сейчас работает некорректно. Есть простая форма регистрации и я использую BCryptPasswordEncoder для пароля.

Соответственно, вот минимальный код для работы:
Spring Security Config

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication()
                .dataSource(dataSource)
                .passwordEncoder(passwordEncoder())
                .usersByUsernameQuery("SELECT email, password, active FROM users WHERE email=?")
                .authoritiesByUsernameQuery("SELECT email, role FROM users WHERE email=?");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

@Autowired
PasswordEncoder passwordEncoder;

@PostMapping("/profile")
public String updateProfile(
        @RequestParam String password,
        @RequestParam String email,
        @RequestParam(value = "userRole",required=false) String userRole,
        @AuthenticationPrincipal UserDetails currentUser
) {

    User user = (User) userService.findUserByEmail(currentUser.getUsername());
    user.setEmail(email);

    BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
    if(!encoder.matches(password, user.getPassword())) {
        user.setPassword(passwordEncoder.encode(password));
    }
    user.setRole(Role.valueOf(userRole)); //todo обновить процесс смены прав пользователя

    userService.updateUser(user.getUser_id(), user);
    return "redirect:/profile?updated";
}

Суть в том, что если пользователь изменил пароль, то сравниваю 2 хэша и соответственно либо обновляю пароли, либо нет. И тут почему-то метод matches() возвращает false и соответственно, пароль обновляется, даже когда пользователь его не обновлял.

Хэш, который хранится в БД:

$2a$10$Qx1zgFOWqlTkpSUI0pb5CuQzFnwIq3wxNyn.tjk8NT6kmrZAN3Lv.

Хэш, который отображается в поле пароль на фронте:

$2a$10$Qx1zgFOWqlTkpSUI0pb5CuQzFnwIq3wxNyn.tjk8NT6kmrZAN3Lv.

Хэш, котоый передается POSTом

$2a$10$Qx1zgFOWqlTkpSUI0pb5CuQzFnwIq3wxNyn.tjk8NT6kmrZAN3Lv.

А вот, почему так, пока не пойму... Что самое интересное, раньше работало. Заранее благодарю за идеи по устранению проблемы)

Answer 1

[Saboteur]

if(!encoder.matches(password, user.getPassword())) {
        user.setPassword(passwordEncoder.encode(password));
    }

Я верно понимаю, что строку полученную от юзера (пароль) вы напрямую сравниваете с тем, что у вас хранится в базе (хеш пароля)?
Может быть надо :

if(!encoder.matches(passwordEncoder.encode(password), user.getPassword())) {
        user.setPassword(passwordEncoder.encode(password));
    }

Comments

[Орхан Гасанлы]

Здравствуйте!
Сейчас проверю. Отмечу, что юзеру на фронт я отдаю хэш и соответственно сравниваю 2 строки хэша. Просто не знаю, как лучше реализовать процесс смены / обновления пароля. Разве, что сравнивать строку на null.

[Орхан Гасанлы]

Проверил, этот вариант не помог.
По идее, мой вариант раньше работал, а почему перестал не возьму в толк.

[Saboteur]

Вообще я подозреваю, что где-то у вас лишний символ мог оказаться. типа перевод строки, пробел в конце.
Потому что сравнение двух хешей как строк - совершенно обычная операция и должна работать как следует.
Можете попробовать добавить дебаг, выводя перед сравнением в консоль что вы сравниваете. Возьмите сравниваемое в квадратные скобки, чтобы отследить лишние символы, например.

[Орхан Гасанлы]

Saboteur, да, так и сделаю. Надо будет разобраться с тем, почему он странно работает. Может действительно дело в переводе строки и т.д.

Answer 2

[IchBinImmerFertig]

У меня была проблема в том, что при смены роли юзера менялся и пароль сам. Вот это помогло

if (!user.getPassword().equals(userService.getById(user.getId()).getPassword())){
user.setPassword(bCryptPasswordEncoder.encode(user.getPassword()));
}

Comments

[Zzudi]

Дай бог тебе здоровья! Я 2 дня пытаюсь уже сравнить это дерьмо.