Java login mit hashed password

[Spitzli]

Hay.

Ich bin daran mit java und MySql zu experimentierne.

Ich hatte mir heute mal folgenden gedanken gemacht.

Ich habe eine website mit einem login, die passwörter sind dort alle ge hashed in der mysql datenbank gespeichert. Wie kann ich nun ein java login erstellen das auf die selbe daten bank zugreift und die login daten mit dem gehashed passwörter überprüft.

Ich habe nach ewigem googlen nichts gefunden was meiner Vorstellung entspricht.

 

[Robert Zenz]

Relativ simpel, du musst wissen welches Verfahren genau verwendet wurde um das Passwort zu hashen, und dieses dann in Java abbilden. Also der Benutzer gibt das Passwort in Java ein, du erzeugst den Hash und vergleichst diesen dann mit dem Wert in der Datenbank. Genauso macht es die Webseite auch, nur halt nicht in Java.

Wie du herausfindest was genau du machen musst ist etwas schwieriger, musst du dir halte die Software welche hinter der Webseite ansehen und dir dort den Ablauf abkupfern. Vermutlich wird es dabei ein bestimmtes Hashing Verfahren geben und eventuell einen hart-kodierten (oder konfigurierten) Salt welchen du ebenfalls in die Java Logik kopieren musst.

 

[Spitzli]

Relativ simpel, du musst wissen welches Verfahren genau verwendet wurde um das Passwort zu hashen, und dieses dann in Java abbilden. Also der Benutzer gibt das Passwort in Java ein, du erzeugst den Hash und vergleichst diesen dann mit dem Wert in der Datenbank. Genauso macht es die Webseite auch, nur halt nicht in Java.

Wie du herausfindest was genau du machen musst ist etwas schwieriger, musst du dir halte die Software welche hinter der Webseite ansehen und dir dort den Ablauf abkupfern. Vermutlich wird es dabei ein bestimmtes Hashing Verfahren geben und eventuell einen hart-kodierten (oder konfigurierten) Salt welchen du ebenfalls in die Java Logik kopieren musst.

Hay Danke für deine Antwort die Website habe ich selbst geschrieben, dort habe ich das ganze mit password hash und password verify gelöst. der hash wurde dann in einer daten bank gespeichert und anschliessend über password verify geprüft.

Password Hash PHP Password Verify PHP

nun habe ich im java jBcrypt gefunden, jedoch komme ich da nicht ganz nach, hier wird immer ein salt verwendet denn ich im php nicht generiere und auch nicht gespeichert habe, weil das dort die funktion password verify übernimmt.



Ist JBcrypt der richtige Lösungs Ansatz oder gibt es da was besseres?

 

[mrBrown]

nun habe ich im java jBcrypt gefunden, jedoch komme ich da nicht ganz nach, hier wird immer ein salt verwendet denn ich im php nicht generiere und auch nicht gespeichert habe, weil das dort die funktion password verify übernimmt.

BCrypt.checkpw(candidate, hashed) bekommt doch nur das „rohe” Passwort und den Hash aus der Datenbank, genau wie password verify?

 

[Spitzli]

Habe ich so versucht, jedoch bekomme ich dann folgenden Fehler:

String username = Login_username.getText();
String password = Login_password.getText();

PreparedStatement pst = null;

                    Connection conn = DriverManager.getConnection(host,uName,uPassword);
                    String query = "SELECT password FROM user WHERE username = '" + username + "'";
                    Statement stmt = conn.createStatement();
                    ResultSet result = stmt.executeQuery(query);
                   
                   

                    if (result.next()) {
                        String rst = result.getString(1);
                        if (BCrypt.checkpw(password , rst)) {
                            System.out.println("Eingelögt");
                        }
                        else {
                            System.out.println("ned eingelögt");
                        }
                    }

Error : Invalid salt revision

noch eine kleine weitere frage, ist in java kontext wechsel auch solch ein grosses thema wie in php?

 

[Oneixee5]

Zum Verständnis: Deine Webseite wird über einen Server ausgeliefert. Da du hier unter Java gepostet hast - wird also ein Java-Server verwendet. Java-Server verwenden die Servlet-API und diese bietet dir, von Haus aus, Möglichkeiten für Loginverfahren. Weiterhin bieten alle Java-Server, welche ich kenne, fertige Implementierungen für einen Login gegen Datenbanktabellen an. Es ist also nicht notwendig selbst etwas zu programmieren. Normalerweise legt man die Tabellen an (oft geschieht das automatisch) und konfiguriert den Login, z.B.: in der web.xml. Normalerweise erstellt man dann noch eigene Webseiten/Formulare, in welche man die Logindaten eingibt. Loginverfahren selbst zu entwickeln führt oft zu Fehlern und Sicherheitslücken, da man selbst normalerweise nicht über Fähigkeiten der darauf spezialisierten Experten besitzt.

 

[Robert Zenz]

Hay Danke für deine Antwort die Website habe ich selbst geschrieben, dort habe ich das ganze mit password hash und password verify gelöst. der hash wurde dann in einer daten bank gespeichert und anschliessend über password verify geprüft.

Password Hash PHP Password Verify PHP

nun habe ich im java jBcrypt gefunden, jedoch komme ich da nicht ganz nach, hier wird immer ein salt verwendet denn ich im php nicht generiere und auch nicht gespeichert habe, weil das dort die funktion password verify übernimmt.

Wenn ich das richtig lese, retourniert PHP nicht nur den Hash, sondern ein Konstrukt aus Hash + Salt. Also in Java musst du das vermutlich dann haendisch zerlegen zum pruefen. Schau dir mal den Wert an der in der DB gespeichert wird, der besteht aus mehreren Abschnitten, und du musst dann den in Java entsprechend zerlegen beziehungsweise dort wieder aufbereiten in das Format welches von der Java Funktion erwartet wird.

 

[Spitzli]

Zum Verständnis: Deine Webseite wird über einen Server ausgeliefert. Da du hier unter Java gepostet hast - wird also ein Java-Server verwendet. Java-Server verwenden die Servlet-API und diese bietet dir, von Haus aus, Möglichkeiten für Loginverfahren. Weiterhin bieten alle Java-Server, welche ich kenne, fertige Implementierungen für einen Login gegen Datenbanktabellen an. Es ist also nicht notwendig selbst etwas zu programmieren. Normalerweise legt man die Tabellen an (oft geschieht das automatisch) und konfiguriert den Login, z.B.: in der web.xml. Normalerweise erstellt man dann noch eigene Webseiten/Formulare, in welche man die Logindaten eingibt. Loginverfahren selbst zu entwickeln führt oft zu Fehlern und Sicherheitslücken, da man selbst normalerweise nicht über Fähigkeiten der darauf spezialisierten Experten besitzt.

Hay, leider handelt es sich hier nicht über einen java server, ich bin nun einfach mal am java lernen und mich interessiert einfach wie das ganze funktioniert das diverse "systeme" mit einander über mysql funktioniert.

 

[mrBrown]

Wenn ich das richtig lese, retourniert PHP nicht nur den Hash, sondern ein Konstrukt aus Hash + Salt. Also in Java musst du das vermutlich dann haendisch zerlegen zum pruefen. Schau dir mal den Wert an der in der DB gespeichert wird, der besteht aus mehreren Abschnitten, und du musst dann den in Java entsprechend zerlegen beziehungsweise dort wieder aufbereiten in das Format welches von der Java Funktion erwartet wird.

Die jBcrypt nimmt auch Hash und Salt zusammen, das ist bei neueren Algorithmen Standard.

@Spitzli zeig mal einen Hash aus der Datenbank, das könnten Versionsunterschiede bei den verwendeten Bcrypt-Bibliotheken sein.

 

[Spitzli]

Die jBcrypt nimmt auch Hash und Salt zusammen, das ist bei neueren Algorithmen Standard.

@Spitzli zeig mal einen Hash aus der Datenbank, das könnten Versionsunterschiede bei den verwendeten Bcrypt-Bibliotheken sein.

Hay, tut mir leid für die späte Antwort, bin gerade noch im Spital :/

Ich habe mir mal einen hash heraus gesucht danke schon im voraus für eure Hilfe, das ist mega lieb.

Hier der Hash:

$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq

 

[mrBrown]

Du kannst in dem Hash aus der DB
$2y$ mit $2a$ ersetzen, dann kann jBcrypt das verarbeiten.

Where 2x prefix are used in BCrypt?

The question is the same title, Where $2x$ is used in BCrypt? The following scenario is right? We have a set of passwords that hashed with $2a$ prefix already, when the Server PHP version was ear...

stackoverflow.com

 

[Spitzli]

Hay danke für deine antwort scheint zu funktionieren, danke viel mals.