密码哈希函数 Bcrypt的最大密码长度限制

Bcrypt是一个很流行的密码哈希算法，是Niels Provos和DavidMazières基于Blowfish加密算法设计的密码哈希算法，于1999年在USENIX协会上提交。Bcrypt在设计上包含了一个盐Salt来防御彩虹表攻击，还提供了一种自适应功能，可以随着时间的推移，通过增加迭代计数以使其执行更慢，使得即便在增加计算能力的情况下，Bcrypt仍然能保持抵抗暴力攻击。

Bcrypt是OpenBSD和SUSE Linux等操作系统默认的密码哈希算法。但是在使用Bcrypt算法的实现时，要注意它有最大密码长度限制，通常为50～72字符，准确的长度限制取决于具体的Bcrypt实现。超过最大长度的密码将被截断。

下面使用spring Security的BCryptPasswordEncoder为例：

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();// 72 字符String password1 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";// 73 字符String password2 = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab";String encodedPassword1 = passwordEncoder.encode(password1);boolean matches = passwordEncoder.matches(password2, encodedPassword1);System.out.println("encodedPassword1: " + encodedPassword1);System.out.println("matches: " + matches);

当运行程序时，会输出这样的结果：

encodedPassword1: $2a$10$A5OpVKgjEZzmy6UNsqzkjuG2xGET1wp3b/9ET5dz/tHQ3eRvyXSSOmatches: true

这证明了Password字符串超过72字符的部分被截断丢弃了。

要解决Bcrypt密码算法72字符长度限制的问题，可以这样：

先使用SHA-256算法对字符串进行加密，再使用Bcrypt算法加密，用伪码示意如下：

hashpw(sha256('password'), salt);

感谢阅读，希望能帮助到大家，谢谢大家对本站的支持！