Bcrypt rspec中的无效散列,同时测试用户是否应散列用户的密码
Bcrypt是一种密码哈希函数,常用于用户密码的加密存储和验证过程中。它通过将密码哈希化并加盐来保护用户密码的安全性。RSPEC是一个用于Ruby语言的测试框架,用于编写和执行单元测试、集成测试和功能测试等。无效散列是指在测试用户密码哈希过程中出现的错误或异常情况。
在使用Bcrypt和RSPEC进行用户密码散列的测试时,我们需要验证以下几点:
- 首先,确保Bcrypt库已经正确安装和配置在开发环境中。可以通过引入相关的gem依赖来使用Bcrypt库。
- 创建一个测试用例,以验证密码散列功能。可以通过调用Bcrypt库提供的哈希函数来对密码进行散列,并将散列结果与预期结果进行比较。
- 在测试用例中,可以使用不同的测试数据来覆盖各种情况,例如测试密码为空、密码长度较短或较长、密码包含特殊字符等。
- 确保测试用例中包含对异常情况的处理,例如传递无效的参数或密码哈希失败的情况。
以下是一个示例的代码片段,演示了如何使用Bcrypt和RSPEC进行用户密码散列的测试:
require 'bcrypt'
require 'rspec'
describe 'Password hashing' do
let(:password) { 'password123' }
it 'should hash the password' do
hashed_password = BCrypt::Password.create(password)
expect(hashed_password).not_to be_nil
end
it 'should verify the password' do
hashed_password = BCrypt::Password.create(password)
expect(hashed_password).to eq(password)
end
it 'should handle invalid passwords' do
expect { BCrypt::Password.create(nil) }.to raise_error(ArgumentError)
end
end在上述示例中,我们通过引入BCrypt和RSPEC的依赖,创建了一个名为"Password hashing"的测试套件。在该套件中,我们定义了三个测试用例来验证密码散列功能。
第一个测试用例验证了密码是否被正确散列,通过调用BCrypt::Password.create方法对密码进行散列,并断言散列结果不为空。
第二个测试用例验证了密码是否可以被正确验证,首先通过BCrypt::Password.create方法对密码进行散列,然后断言散列结果与原始密码相等。
第三个测试用例验证了对无效密码进行散列时是否会抛出ArgumentError异常。
通过执行上述测试用例,我们可以确保Bcrypt和RSPEC的无效散列测试是否通过,以及验证用户密码散列的正确性。对于这种测试场景,腾讯云并没有特定的产品或服务,可以直接使用Bcrypt和RSPEC库进行测试开发。
相关·内容
1回答
想象一下,一个and应用程序使用传统的电子邮件密码登录,用户表保存密码,并使用bcrypt进行散列。
现在应该实现一个辅助登录方法,就像API或外部auth提供程序一样,一些用户只能通过该辅助方法登录,而不是标准的电子邮件密码输入。
使用一个无效的散列填充密码字段会带来什么安全影响,比如“不登录”这样的字符串,从而有效地禁用常规登录?是否最好生成一个随机密码,并设置一个标志来禁用该用户的正常登录功能?
浏览 0提问于2021-06-22得票数 2
回答已采纳
3回答
我正在开发一个web应用程序,其中我需要加密敏感信息。我的计划是使用AES-256,其中私钥是由用户密码的散列加密的。出于身份验证的目的,我需要存储密码的散列,但它显然不能用于加密私钥。我现在的想法是使用bcrypt生成一个密钥,用于加密私钥。对于身份验证,我的想法是使用bcrypt简单地散列密码,然后再次使用bcrypt散列该散列,然后将该散列存储在数据库中。既然它是单向的,那么应该没有任何方法来使用存储的散列来解密私钥?这样做有没有明显的安全问题,我可能会遗漏?
我的另一个想法是使用两种不同的加密算法,例如使用bcrypt散列加密私钥,并存储SHA-2散列用于身份验证。
谢谢你的帮助。
浏览 2提问于2012-08-04得票数 6
https://stackoverflow.com/a/477578/14731的作者建议:
不要将持久化登录COOKIE (令牌)存储在数据库中,只有IT的一个散列!...在存储持久登录令牌时使用强咸散列(bcrypt / phpass)。
我的印象是,登录cookie有两个目的:
UX好处:不要要求用户每次请求登录一次
性能优势:不需要在每个请求中运行缓慢的算法(如bcrypt)
作者似乎正在使第二点无效,这让我想知道:为什么要费心使用身份验证令牌呢?与其将用户名/密码映射到随机选择的身份验证令牌,为什么不使用httpOnly、secure cookie简单地传递每个请求的用户名/密码呢?
浏览 0提问于2014-07-18得票数 55
回答已采纳
1回答
我有一个学习管理系统(Moodle),有一个SSO到谷歌应用程序。当在LMS中创建一个新用户时,它应该在Google中创建一个新用户。但是,每当我创建一个新用户时,我都会得到以下错误:
错误(1402):错误1402: InvalidPassword无效输入:InvalidPassword
错误中的长字符串是bcrypt哈希密码,这就是我的LMS存储密码的方式。然而,Google要求用户密码使用MD5或SHA-1进行散列。我对哈希几乎一无所知。有没有办法将bcrypt哈希密码转换为MD5或SHA-1?
浏览 0提问于2013-11-05得票数 0
1回答
使用BCrypt技术将密码作为散列存储到数据库中。虽然与MD5、SHA-1等快速散列算法相比,它可能有点慢,但我们还是决定考虑安全性更重要的问题。
在.Net中,我使用实现了
BCrypt.Net.BCrypt.HashPassword("Password", BCrypt.Net.BCrypt.GenerateSalt(12));
在我们的站点中,管理员将为新用户创建用户名和密码。
存储散列密码没有问题。但是如果管理员想更新密码,他需要查看旧密码。我没有看到任何方法谴责存储在Bcrypt.Net中DB中的散列值。
有办法从Bcrypt哈希密码生成文本吗?不过,我同意这不可能,
浏览 3提问于2013-03-23得票数 2
1回答
我有一个由bcrypt (使用)从用户密码创建的散列。我需要基于这个散列生成一个密钥,以便用户下次输入密码时,应用程序将根据它创建一个散列,然后生成相同的密钥。问题是,使用bcrypt时,对于相同的密码,我每次都会得到不同的哈希。我想知道bcrypt为字符串生成的所有散列中是否有共同之处。我可以从散列中提取一些公共的常量部分来从它创建一个键吗?
浏览 1提问于2018-04-30得票数 0
1回答
我不得不破解我的密码,因为我用的是bcrypt。通过遵循一个教程,我发现了以下代码:
const saltRounds = 10;
bcrypt.hash(password, saltRounds).then(hashedPassword => {
//...
}
我在谷歌上搜索了什么是saltRound以及它的恰当之处,直到我在这里发现,您可以控制密码散列所需的时间。
这是否意味着您只需使用一个属性saltRounds就可以控制加密密码的强度?
浏览 10提问于2022-06-15得票数 0
回答已采纳
1回答
所以我在试验bcrypt。我有一个类(如下所示,它是我从获得的),其中有3个函数。第一个是生成随机的Salt,第二个是使用第一个生成的Salt生成散列,最后一个是通过将提供的密码与散列密码进行比较来验证提供的密码。
<?php
/* Bcrypt Example */
class bcrypt {
private $rounds;
public function __construct($rounds = 12) {
if(CRYPT_BLOWFISH != 1) {
throw new Exception("Bcrypt
浏览 1提问于2013-05-24得票数 5
回答已采纳
2回答
在登录路线上,我检索密码。如何在数据库中找到具有匹配散列密码的用户,而不获取整个用户表并在服务器上遍历它?
在mysql中,每个用户注册时都有一个散列密码。我是这样生成的:bcrypt.hashpw(password.encode('utf-8'), bcrypt.gensalt()).decode('utf-8')
如果我在登录时执行相同的方法(对于相同的纯文本密码),就会得到不同的散列。
所以就像这样:
select * from User where hash_generated_at_register = hash_generated_at_login
浏览 2提问于2018-06-20得票数 0
回答已采纳
我有一个输入字段,用户在其中输入用户名和密码。我需要散列他们输入的密码吗?还是可以保留它,只在password_verify中根据散列的数据库密码使用它。我正在使用password_hash对它们进行PASSWORD_BCRYPT散列,如果必须散列输入和存储的密码,则不知道如何比较它们。
浏览 5提问于2017-10-01得票数 0
回答已采纳
我必须重建一个从Rails到Node.js的项目。Bcrypt用于在Ruby项目中散列密码,我正在尝试重新构建相同的哈希,这样我就可以复制散列密码,用户可以在节点版本上使用相同的凭据登录。
此散列$2a$11$j2IA8cPRFFC4YOXTl5kb9eF02fwNdLyFAPOvflQ3h/QdX8mE1SNK2用于密码Test1234。我已经检查了Rails代码,我看到了下面的函数来散列密码
通用信息
COST = 11
SALT = 1234567890
创建散列
def password_hash(password)
pwd = "#{password}#{SALT}
浏览 6提问于2022-06-15得票数 3
回答已采纳
我正在尝试将用户输入的密码字段与已散列的密码进行比较。我看过这些文件,没有找到我一直在寻找的东西。我使用以下方法散列密码
pw_bytes = password.encode('utf-8')
hashed = bcrypt.hashpw(pw_bytes, bcrypt.gensalt())
如果我重新散列密码,它会给我一个不同的哈希。如何从我的数据库中删除密码,或者重新散列用户提供的密码以便它们匹配?
浏览 1提问于2016-06-18得票数 0
回答已采纳
我有一个旧的web应用程序,注册了几个用户,它使用不安全的hash("sha256", trim($_POST["password"]))将散列密码存储在MySQL数据库中。现在,我想更新web应用程序,以使用更安全的BCRYPT password_hash(),但是我不想给所有注册用户发电子邮件,提醒他们更改密码。因此,我正在考虑以这种方式在sha256()哈希密码上实现BCRYPT:
为了保存密码,我将sha256()散列用户的密码:
$hashed_password = password_hash(hash("sha256", trim($
浏览 2提问于2019-06-16得票数 2
回答已采纳
2回答
如何在Laravel中检查密码?
、、、、
我用的是Laravel5.4。我知道哈希是单向的。我记得,我对密码进行了散列,并将它们保存在数据库中;当我想检查用户密码时,我会散列他们输入的密码,并在数据库上使用散列字符串检查密码。
在laravel中,我只需编写以下代码:
$email = $request['email'];
$pass = $request['password'];
if(Auth::attempt(['email'=> $email , 'password' => $pass])){
//return something
浏览 7提问于2017-08-19得票数 3
回答已采纳
1回答
我在密码中使用了bcrypt.hash,这是正常的散列...但是当我用mongoose在mongodb中保存这个散列的密码时,这与我散列密码时的密码不同。 示例: 密码哈希:$2b$10$bUY/7mrZd3rp1S7NwaZko.ShDFj47rAfdGHG1QcQxGdtvzaDd.WH2 密码保存的mongo:$2b$10$fOLYjjib7ycRbq7BqzNdMuPNbTPjMIVAZ1QQzBvX5cMEhi6rERjJK 我的注册用户代码: req.body.password = await bcrypt.hash(req.body.password, 10);
con
浏览 14提问于2019-05-03得票数 0
回答已采纳
2回答
我正在尝试使用Bcrypt对用户在注册时提供的密码进行加密,然后使用Bcrypt根据数据库中存储的散列版本验证用户在登录时提供的密码。
有一些关于如何通过Django 在上安装Bcrypt的非常好的文档,但它们实际上并没有向您展示如何使用Bcrypt来散列密码或使用其他命令。
你需要从什么地方导入Brcrypt吗?如果是这样,它的正确语法是什么?对密码进行散列以及将散列的密码与非散列的密码进行比较的语法是什么?
我在settings.py文件中安装了Bcrypted库,还通过pip安装了Bcrypt。我还需要做什么才能使用Bcrypt?
浏览 1提问于2015-11-25得票数 8
回答已采纳
我使用bcrypt对一些web服务请求哈希多个密码。问题是,由于bcrypt,这些web服务请求可能需要几分钟才能完成。不太友好的用户。
我的问题是:我可以使用SHA散列这些密码并将它们保存到数据库中,然后让一个解耦的排队工作人员来使用bcrypt正确地散出这些密码吗?
这样,这些密码最终将使用bcrypt进行散列,但用户在此过程中不会有痛苦的体验。
目前,我正在使用.NET库BCrypt.Net。
📷
浏览 0提问于2015-05-05得票数 2
回答已采纳
1回答
我正在创建一个数据库,我需要存储用户密码。我已经在使用bcrypt对客户端的密码进行散列,但我读到只有在客户端进行散列才能使散列实质上等同于数据库中的密码。在将密码存储到数据库之前,我想再次对密码(现在是散列)进行散列。我是否必须使用像SHA2(pwd)这样的MySQL原生方法,或者有没有办法在服务器上使用bcrypt?
浏览 16提问于2017-03-17得票数 0
1回答
在我的网站上有一个页面,客户可以在其中存储一个密码,以便在他们购买的应用程序中使用(通常所有应用程序都有一个密码,以便于使用)。使用PHP代码使用bcrypt对密码进行散列:
if ( $app_pass != '' ){
$mysalt= mcrypt_create_iv(22, MCRYPT_DEV_URANDOM);
$options = [ 'cost' => 10, 'salt' => $mysalt,];
$app_pass = password_hash( $app_pass, PASSWORD_BCRYPT
浏览 5提问于2015-09-10得票数 1
回答已采纳
2回答
存储散列密码
、、
我需要修改一个安全的登录代码:
@Override
public User login(String username, String password, Boolean rememberMe) {
log.info("Logging in username="+username);
UsernamePasswordToken token;
String hashed = BCrypt.hashpw(password, BCrypt.gensalt());
log.info("Hashed password=" + hash
浏览 9提问于2013-07-25得票数 2
回答已采纳
2回答
我研究了密码哈希和破解,我有一些误解:
创建强密码的第一条经验法则是使用数字/上/下/符号的10+组合来防止暴力攻击。那么,只有当密码是预先生成的表的成员(是长密码还是短密码)时,才会出现问题。
假设密码是QWERTY,并假设:
Hash(QWERTY) = $$
User1:Hash(QWERTY+134565654) = ####
User2:Hash(QWERTY+876964786) = &&&
让我们想想盐是如何起作用的:
For蛮力:
未加盐的$$$$很容易造成暴力。
盐渍的####和&-更难使用武力,因为它们更长,即使它们是野蛮的,黑客也不会知道密
浏览 0提问于2020-04-23得票数 2
1回答
我有一个关于上两个最热门答案的建议的问题。
在他们回答的最后部分,他们说为了可维护性,加密密码散列比使用硬编码的胡椒更好(以防你的散列泄露,你可以轮换密钥)。
这是他们所说的伪代码吗?
$key = 'random_key_stored_elsewhere';
$hash = bcrypt($password);
$encrypted = encrypt($hash, $key);
// store $encrypted to DB
现在检查登录尝试:
if (bcrypt($user_input) == decrypt($encrypted, $key))
{
//
浏览 3提问于2018-11-22得票数 2
一些开发人员需要将存储从parse.com转移到另一个服务器。
当我从解析中导出数据时,我会得到json数据。此json数据具有加密密码(bcrypt),如下所示:
$2a$10$pcR4SaZd3PMD/nXQKMssxupMLncDoFwfU7avg/wdpLVChNqGOXbLu
我试着理解,在这种情况下,如何从用户那里检查密码。
我像这样使用jBcrypt:
import org.mindrot.jbcrypt.BCrypt;
public class Main {
public static void main(String[] args) {
S
浏览 5提问于2016-02-20得票数 2
回答已采纳
我计划使用bcrypt散列用户密码,并将这些散列密码存储在数据库中。
处理用户帐户创建并将散列密码插入数据库的服务器是用Java编写的。
另一个需要访问用户信息(包括散列密码)的服务器是用Python编写的。
我本来打算在Java端使用,但在此之前,我想确保能够识别/使用这些散列密码。
我是如何理解的,只要Python实现与BCrypt实现相同,这就没有问题。
那么,我可以使用使用Python中的jBCrypt进行散列的密码吗?多么?
提前感谢!
浏览 3提问于2013-06-06得票数 1
回答已采纳
我非常接近确切地理解bcrypt的比较功能是如何工作的,但是在我的知识中有一些缺失的漏洞。
我迄今为止的理解是:
brcypt氏族使用纯文本密码和随机生成的盐类进行散列密码。哈希密码是bcrypt版本、哈希盐和级联散列纯文本密码的组合。当用户登录时,他们的纯文本密码将通过比较函数运行。此时,bcrypt知道哈希中有多少个字符,从什么偏移量开始从完整哈希中分割散列盐分。然后将salt与以纯文本密码传递的salt连接起来,通过散列算法运行salt,得到最后的散列字符串。散列字符串与数据库中的散列字符串进行比较,如果有准确的字符匹配,则密码是正确的。
两个问题。
哈希不应该是不可能逆转的吗?如果
浏览 1提问于2019-07-10得票数 1
2回答
长密码和Bcrypt
、、、
我需要存储一个web应用程序的密码,并且正在寻找一个可能的解决方案。经过一些研究,似乎只有前72个字节影响最终的哈希输出。虽然应用程序可以将输入限制为72个字符,但这会对密码管理器的用户造成伤害,因为密码管理器会产生非常长的密码。
虽然众所周知,hash1(hash2(x))只会增加碰撞,但似乎并没有多少关于使用bcrypt(hash1(x))的信息,就像通过这个答案所指出的那样。
First idea
如果密码p是p > 72字节,则SHA512对密码进行64字节,然后对哈希进行Bcrypt。
可能的缺点:
散列
Bcrypt的输入只有哈希函数的输出(64字节)大。
第二思想
如果密码
浏览 0提问于2016-01-30得票数 4
回答已采纳
2回答
为了安全地散列密码,我应该使用哪种算法?BCrypt还是PBKDF2WithHmacSHA1?
哪个更安全?PBKDF2WithHmacSHA1是内置到Java中的,而BCrypt则可以通过库获得(该库大多收到了积极的评论)。
另外,如果我使用BCrypt,是否应该将用户的密码输入限制为55个字符(因为这是BCrypt的限制)?
如果您是特定于Java的,这将是有帮助的。
请注意,我会选择使密码更加安全和野蛮-强制更加困难。
浏览 4提问于2014-10-11得票数 1
回答已采纳
4回答
地窖怎么会有内置盐呢?
、、、
Coda的文章声称:
bcrypt有内置盐类以防止彩虹桌的攻击。
他引用的话说,在OpenBSD的bcrypt实现中
OpenBSD从弧四(arc4random(3))密钥流中生成128位的bcrypt盐,该密钥流带有内核从设备时间收集的随机数据。
我不明白这是怎么回事在我对盐的概念中:
对于每个存储的密码,它需要不同,以便为每个密码生成一个单独的彩虹表。
它需要存储在某个地方,以便可以重复:当用户尝试登录时,我们会尝试他们的密码,重复我们最初存储他们密码时所做的盐类和散列过程,并进行比较。
当我用bcrypt使用Devise ( Rails登录管理器)时,数据
浏览 3提问于2011-07-26得票数 737
回答已采纳
当用户使用我的应用程序注册时,我正在使用对用户密码进行散列。
我使用的是基本的散列函数,带有一个salt,如下所示:
String pass = BCrypt.hashpw(rawPass, BCrypt.gensalt());
注册时,我注意到一个1到2分钟挂起,并检查调试器,确认BCrypt负责。
盐渍密码真的占用了那个多的处理能力吗?如果是这样的话,一个好的选择是将明文密码发送到服务器进行散列吗?我对这件事的最初想法是在它被寄到任何地方之前把它弄碎。有什么想法吗?
浏览 4提问于2011-10-02得票数 9
回答已采纳
在我的local-register中,我将用户数据存储在数据库中。要散列密码,我使用bcrypt:
console.log(password);
password = bcrypt.hashSync(password);
console.log(password);
如果我用密码stackoverflow注册用户,密码是这样的:
stackoverflow
$2a$10$uoJH1Wo9b7SQploRptfODe1Q2kRC3skQoUNOIhAmHg2AWykWQwGvW
当我使用密码stackoverflow登录用户stackoverflow@stackoverflow.com时
va
浏览 6提问于2016-08-18得票数 2
回答已采纳
1回答
我想使用以下方法将密码保存在数据库中:
$insert_pass = password_hash($pass, PASSWORD_BCRYPT);
当用户需要登录时,如果他的密码等于admin,并且作为散列,则管理字符串位于数据库中,如下所示:
$2y$10$T5Gbe.VJyXihIJGhRJuP9ep3ydh/okw4rlKS/oe9KH3ho83mpmQ1y
然后,当我查询用户是否拥有正确的凭据时:
$user = $_POST['user_name'];
$pass = $_POST['user_pass'];//From text boxes
$has
浏览 5提问于2016-04-21得票数 0
回答已采纳
我试图在nodejs中创建登录系统,我使用bcrypt作为密码哈希,但是每次我试图获得用户时,它都会产生错误,我认为它没有进行任何查询。
我就是这么试的
模型/User.js
import mongoose, { Schema } from 'mongoose';
import bcrypt from 'bcrypt';
//Todo: add uniqueness and email validattions
const schema = new mongoose.Schema({
email: {
type: String
浏览 0提问于2019-04-05得票数 0
回答已采纳
2回答
长期以来,哈希函数一直需要一个工作因素,以使操作“慢”到足以在数据库泄漏的情况下保护单个密码。Bcrypt和PBKDF2是值得注意的例子。
当涉及到安全性时,我也知道“不要自己滚动”,但是很容易想象一种情况:随着时间的推移,由于硬件的增加,密码散列方案的工作因素变得太快。人们还可以想象,与硬件升级前相比,数据库所有者升级自己的硬件,从而提高工作因数,以确保更好的每个密码安全。
问题在于必须“重新散列”密码,因为您不希望在数据库中存储明文甚至加密密码,因此系统无法再次访问密码以重新散列以更改工作因素。要解决这个问题,只需在用户登录时重新哈希。每当用户登录其明文密码时,在成功验证密码的散列时,系统
浏览 0提问于2016-04-07得票数 8
回答已采纳
我正在尝试使用Postfix和Dovecot来设置邮件服务器。
我将我的用户存储在一个带有bcrypt散列密码的PostgreSQL数据库中。
经过一些研究,我找到了从PostgreSQL数据库中读取用户的方法,但使用的是以纯文本形式存储的密码。
如何设置Dovecot,以便从带有bcrypt散列密码的PostgreSQL数据库中读取用户?
浏览 0提问于2018-01-31得票数 0
回答已采纳
如何在使用BCrypt命名空间配置的内存用户服务中使用XML密码编码器?我尝试了以下几种方法:
<bean id="bcrypt" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider>
<se
浏览 1提问于2019-03-26得票数 0
1回答
我正在编写一个python脚本(在python3.4中),它散列密码,然后另一个脚本让用户登录。
散列密码的那个:
import bcrypt
password1 = input("pass: ")
password=b"password1"
salt = bcrypt.gensalt()
hashed = bcrypt.hashpw(password, salt)
f=open("passwd.txt","w")
print(hashed,file=f)
f.close()
f1=open("salty.txt
浏览 1提问于2015-07-06得票数 0
我有一个简单的web应用程序,允许注册新用户使用bcrypt来存储密码。 我的TypeORM用户实体如下所示: @Entity()
export class User extends BaseEntity {
@PrimaryGeneratedColumn('uuid')
id: string;
@Column({
type: 'nvarchar',
length: 256,
nullable: false,
unique: true,
})
userna
浏览 28提问于2020-07-09得票数 0
回答已采纳
1回答
我在mysql中创建了使用相同密码的用户,然后此代码片段使用bcrypt将纯文本密码更改为散列。为什么同一个字符串的哈希值不同? import mysql.connector
import bcrypt
mydb = mysql.connector.connect(
host="localhost",
user="root",
password="........",
database="briandb",
)
mycursor = mydb.cursor()
for user in [
浏览 29提问于2021-02-05得票数 0
回答已采纳
这应该是非常直截了当的:我正在生成一个散列密码,然后想将它与“未散列”字符串进行比较。它总是返回无效的密码。我遗漏了什么?
<?php
// MY CURRENT PHP VERSION IS 7.0.9
$password = "abc";
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
$password_hashed = password_hash($password, PASSWORD
浏览 3提问于2017-09-17得票数 2
回答已采纳
2回答
我正在进行一些PHP的开发工作,目的是部署到用户的服务器上--可能是廉价/共享托管(意思是最低公共分母PHP5.2,不修改安装)。通过PHP5.2的可安装扩展,密码散列的似乎是bcrypt或scrypt。
我一直在考虑使用迭代的SHA-512和一个强大的每个用户的盐,但听起来并不像bcrypt/ salt那么简单。
没有修改基本PHP安装的能力,那么我有哪些选项可以增强密码安全性呢?
浏览 7提问于2012-10-08得票数 0
回答已采纳
1回答
我从一个平台获取基于MD5的散列和盐类,其中用户register.My平台从CSV文件中获取新用户的数据(名称、姓氏、用户名、密码),我已经在PHP中创建了一个脚本,该脚本自动将它们添加到我的database.However中,我对密码有问题,因为我使用的平台使用的是Bcrypt。我不知道如何将已使用的MD5散列密码更改为Bcrypt密码,这样当注册到另一个平台的用户尝试登录到我的database.However时,验证就成功了。有什么想法吗?
提前谢谢你。
浏览 0提问于2017-11-06得票数 0
回答已采纳
我在数据库中使用散列SHA512对我的密码进行散列。在我的spring boot安全机制中,我使用了下面的代码
@Bean
public PasswordEncoder customPasswordEncoder()
{
return new PasswordEncoder() {
@Override
public String encode(CharSequence rawPassword) {
return BCrypt.hashpw(rawPassword.toString(), BCrypt.ge
浏览 0提问于2020-02-24得票数 0
3回答
我想构建一个登录应用程序,它有一个用于用户名和密码输入的客户机,以及一个服务器,然后服务器接收用户名和密码。
然后服务器应该检查,wheather它收到的密码是否与已经存储的散列匹配。我认为不将未加密的密码(仅以字符串形式)从客户机发送到服务器是明智的,因此我已经在客户端用BCrypt加密了密码。
但是现在服务器端有两种散列,但是BCrypt只提供给的方法,将明文与哈希进行比较,而不是将哈希与哈希进行比较。
我现在应该将明文密码发送到服务器,还是有一种比较两种散列的方法?
谢谢你的帮忙
浏览 0提问于2019-07-31得票数 0
回答已采纳
我希望在即将到来的项目中使用ServiceStack,但我想使用bcrypt对密码进行哈希处理。目前,内置存储库使用SHA256散列。有没有办法让我利用现有的验证码并使用bcrypt?
浏览 0提问于2012-10-11得票数 2
回答已采纳
3回答
如何测试密码更改是否成功?
、、、、
我使用bcrypt-ruby和has_secure_password组合了一个基本的应用程序和用户身份验证。其结果本质上是来自的应用程序的基本版本。换句话说,我有一个RESTful用户模型以及登录和注销功能。
作为编辑用户信息的测试的一部分,我编写了一个更改密码的测试。虽然更改密码在浏览器中运行良好,但下面的测试没有通过。
subject { page }
describe "successful password change"
let(:new_password) { "foobaz" }
before do
fill_in "Pa
浏览 0提问于2012-10-16得票数 2
我正试图在我的Go应用程序中编写一个登录函数。我有一个注册函数,它使用bcrypt来散列密码,因此我可以将其存储在数据库中。
用户已成功注册,并且我在数据库中有哈希密码。在尝试登录时,我尝试将数据库中的散列密码与请求中得到的纯文本密码进行比较。但是,我总是得到这样的错误:
crypto/bcrypt: hashedPassword is not the hash of the given password
我正确地检查了来自数据库的散列密码和来自请求的纯文本密码,并且两者都得到了。使用
err = bcrypt.CompareHashAndPassword([]byte(userInfo.fe
浏览 0提问于2020-07-29得票数 0
我目前正在制作一个密码管理器,因此我用用户名和密码字段制作了一个登录表单。我想要bcrypt密码。我将salt和哈希密码存储在数据库()中。当用户输入他们的用户名和密码时,我所做的是:
1.从DB检索salt,并使用BCrypt.Net.BCrypt.HashPassword(password.Text, sal)方法将提交的密码与数据库中的salt进行散列
2.从db表中检索原始的哈希密码,然后使用BCrypt.Net.BCrypt.Verify(submhash, passdb)方法检查两个密码哈希是否匹配。
3.如果它们匹配,我就打开程序的主要形式。
然而,version抛出一个异常:无
浏览 0提问于2018-09-11得票数 4
我正在设计一个web应用程序,它需要在数据库中以加密格式存储GPG密钥。
我计划将用户的密码存储在数据库的bCrypt散列中。我希望能够做的是使用该bCrypt来验证用户,然后使用存储的bCrypt散列和密码的另一个散列的组合来加密和解密GPG密钥。
我的问题是,我是否可以在不降低密码安全性的情况下做到这一点?我在想,我也许可以使用像HMAC-SHA256这样的静态字符串,使用密码和盐作为密钥。
有没有更好的方法来做这件事,这是我没有想到的?
谢谢
浏览 1提问于2010-04-21得票数 0
2回答
我正在尝试为我正在制作的一个节点应用程序配置Bcrypt,并且有几个关于盐类的问题,我希望这里的人能帮助我回答。
什么是盐“圆”?例如,在github文档()中,它使用10的盐轮,这到底意味着什么?
Bcrypt产生的盐总是一样的吗?例如,如果我将用户的散列密码保存到DB中,它用于散列密码的盐类对于每个密码是否相同?
盐是怎么储存的?它能免受潜在的攻击吗?
浏览 2提问于2017-10-11得票数 68
回答已采纳
有一个现有的用户数据库,其列如下:
userId (v4 uuid)
创建时间戳
bcrypt密码散列
电子邮件
我必须添加密码重置功能,并且不能向表中添加任何新列。因此,我的计划是实现以下流程:
用户触发密码重置
服务器在X分钟内给JWT令牌发送电子邮件,并声明如下: passwordResetToken=bcrypt(,和sub=userId 10)。
用户打开链接,键入新密码,并将其与JWT令牌一起发回。
服务器验证JWT令牌签名、过期时间和基于userId的令牌加载用户信息,并根据数据库中的当前用户状态检查passwordResetToken是否与计算的信息匹配。
这个流应该是为了防止
浏览 0提问于2021-02-15得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
