Разное hashCode для той же строки?

Question

Я сделал экран входа в систему и хочу проверить пароль, который клиент вводит с паролями в базе данных сервера. Если их HashCodes совпадают, пароль принимается. Тем не менее, HashCode, который я получаю, когда я пишу пароль на экране клиента, отличается от HashCode полученной строки (пароля) на стороне сервера.

Кто-нибудь знает почему? Заранее благодарим за понимание.

Answer 1

Вы неправильно поняли.

1. Вы должны использовать безопасный хэш, а не метод hashCode().
2. Вы не должны хранить пароль открытого текста в базе данных. Вы должны сохранить хэш.

3. Вы должны получить базу данных, чтобы сделать хеширования и сравнения:

   SELECT COUNT(*) FROM USERS WHERE USERNAME = ? AND PASSWORD = MD5(?) 
   

   Если этот запрос возвращает 1, имя пользователя и пароль существуют. Если он возвращает ноль, они этого не делают. Также обратите внимание, что вы не хотите различать неправильное имя пользователя и неправильный пароль, так как это утечка информации злоумышленнику. Проверьте их оба вместе, как указано выше.

Answer 2

@EJP указал (правильно), что вы должны использовать безопасный хэш-функции не Java hashCode для этого.

Однако HashCode, который я получаю, когда я пишу пароль на экране клиента, отличается от HashCode полученной строки (пароля) на стороне сервера.

Это головоломка. Если вы используете String.hashCode(), единственное возможное объяснение заключается в том, что вы хешируете разные строки; например в одном, а не в другом, может быть ведущее/конечное белое пространство, или, может быть, один хэшируется с добавленным «семенем». Я думаю, еще одно возможное объяснение может заключаться в том, что вы хешируете StringBuffer, StringBuilder, char[] или что-то еще.