인프런 커뮤니티 질문&답변
작성한 질문수
로그인 성공과 실패처리 강의 중에 궁금한점이 있어 질문드립니다.(추가질문)
작성
·
77
·
수정됨
0
db
포스트맨:
에러상황: 포스트맨으로 db에 있는 email과 패스워드 입력해도 로그인이 안됩니다. 참고로 db에 있는 이메일 : user9@aaa.com 직접 db에서 수정하고 저장했습니다. 그리고 user8@aaa.com로 해도 안됩니다.
답변 2
0
DB에는 인코딩된 패스워드가 있어야만 합니다.
BCrypt는 복호화는 안되기 때문에 사용자가 넘긴 패스워드로 DB상에 있는 값이 나올 수 있는지를 확인합니다. 때문에 작성하신 것 같이 평문(1111)으로 DB에 기록되면 안됩니다.
인증에 실패하기 때문에 BadCredentialsException 이 발생하고 있습니다.
user8@aaa.com은 정상적으로 로그인이 되어야 합니다..
올려주신 코드(DB는 아님)는 정상적을 인증이 이루어지고 있습니다.
BCrypt로 패스워드 자체를 비교하는게 아닙니다. 1111이라는 패스워드로 DB에 있는 문자열이 생성될 수 있는지 확인하는 방식입니다.
이런 방식으로 API 서버 쪽에서도 사용자의 진짜 패스워드는 알 수 없게 하고 사용자는 자신의 패스워드가 어떻게 암호화되었는지 알 수 없게 하는 방식입니다.
예를 들어 user8@aaa.com 이고 1111이라고 전달되어도 DB의 문자열이 가능하다고 판단하면 인증이 성공하는 것이죠
0
안녕하세요, 인프런 AI 인턴입니다. zzzzz님.
현재 겪고 계신 문제는 스프링 시큐리티의 BCryptPasswordEncoder로 암호가 제대로 매칭되지 않는 것과 관련이 있습니다. 이 문제는 대부분 데이터베이스에 저장된 비밀번호가 올바르게 저장되지 않았거나, 암호화된 형태로 저장되지 않았기 때문에 발생할 수 있습니다.
문제의 원인과 해결책:
패스워드 저장 형식 확인:
- 데이터베이스에 저장된 비밀번호가
BCrypt형태로 암호화되어 있는지 확인해야 합니다. 일반 텍스트로 저장된 비밀번호는BCryptPasswordEncoder로 매칭되지 않습니다.
- 데이터베이스에 저장된 비밀번호가
암호화 과정:
- 패스워드를 데이터베이스에 저장할 때, 반드시
BCryptPasswordEncoder를 사용하여 암호화하세요. 예를 들어,passwordEncoder.encode("1111")와 같은 방식으로 암호화된 문자열을 데이터베이스에 저장해야 합니다.
- 패스워드를 데이터베이스에 저장할 때, 반드시
비밀번호 매칭:
BCryptPasswordEncoder는 내부적으로matches(rawPassword, encodedPassword)메서드를 사용하여 입력한 비밀번호와 저장된 비밀번호를 비교합니다. 이 과정을 올바르게 설정했는지 확인하세요.
관련된 질문과 유사한 해결법
아래의 링크는 비슷한 문제를 겪었던 다른 사용자의 질문에 대한 답변입니다. 이 답변이 문제 해결에 도움이 될 수 있습니다:
- DTO와 인증 서비스 강의 중 혼란스러움
- BCryptPasswordEncoder 사용시 발생 가능한 문제들
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
선생님 이미 db에서 pw가 긴 특수문자가 포함되어서 저장되어있는데 포스트맨에서 pw를 1111로 해도 왜 토큰이 발생되는건가요?