spring security (BCryptPasswordEncoder)加密及判断密码是否相同

通过BCryptPasswordEncoder的加密的相同字符串的结果是不同的，如果需要判断是否是原来的密码，需要用它自带的方法。

加密：

BCryptPasswordEncoder encode = new BCryptPasswordEncoder();
encode.encode(password);

判断：

需要通过自带的方法 matches 将未经过加密的密码和已经过加密的密码传进去进行判断，返回布尔值。

encode.matches(oldpassword,user1.getPassword());

举例说明：

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass);
        System.out.println(hashPass);

        boolean f = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(f);

    }
}

可以看到，每次输出的hashPass 都不一样，
但是最终的f都为 true,即匹配成功。

查看代码，可以看到，其实每次的随机盐，都保存在hashPass中。

在进行matchs进行比较时，调用BCrypt 的String hashpw(String password, String salt)

方法。两个参数即”admin“和 hashPass

//******BCrypt.java******salt即取出要比较的DB中的密码*******
real_salt = salt.substring(off + 3, off + 25);
try {
// ***************************************************
    passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
}
catch (UnsupportedEncodingException uee) {}
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds);

假定一次hashPass为：$2a$10$AxafsyVqK51p.s9WAEYWYeIY9TKEoG83LTEOSB3KUkoLtGsBKhCwe

随机盐即为 AxafsyVqK51p.s9WAEYWYe

（salt = BCrypt.gensalt();中有描述）

可见，随机盐（AxafsyVqK51p.s9WAEYWYe），会在比较的时候，重新被取出。

即，加密的hashPass中，前部分已经包含了盐信息。