Dúvida c criptografia

Pessoal estou fazendo uma classe para autenticação de usuários (visto q aqui na empresa a gente não vai usar Acegi). Tenho uma BD c o login e a senha de todos os usuários (descriptografada).
Eu faço uma chamada do método responsável e passo um objeto usuário e através de outro método eu conecto no BD e faço um select c o login e senha do objeto usuário…assim só retorno a tupla se ele for encontrado…

Blz até aí funciona ok…

A dúvida é oq devo autenticar ??? p mim deveria ser o login e/ou a senha q passo para a consulta, porém se eu criptografar antes de passar eu também não deveria ter na BD os logins e/ou as senhas criptografadas ??? Essa é minha dúvida…pq se eu passar um monte de coisas estranhas no select o BD não vai encontrar e vai falar q não encontrou … é isso mesmo ???

Vamos ver se entendi.

O ideal era você ter a senha criptografada no banco de dados. Do que adianta você fazer um select no banco e criptografar…

O legal era você passar somente o usuário como parametro no SQL, ele vai fazer o select e encontrar o usuário (se existir) e vai trazer a senha.
A validação você faz no método recuperando a senha no resultset com a digitada pelo usuário, e neste ponto você descriptografaria a senha.

espero que eu tenha entendido a sua duvida…

até…

Para a lógica de criptografia não ficar acoplada no codigo fonte da aplicação, voce poderia fazer via procedure… e fazer a criptografia/descriptografia dentro da propria procedure

naum se mate fazendo codigos de criptografia, use MD5 esse eh o bixo…