PHP和Python实战bcrypt算法

举报
feichaiyu 发表于 2019/10/14 22:18:07 2019/10/14
【摘要】 本文是 bcrypt() 算法介绍的第二篇,第一篇参考《安全存储口令的业界标准:bcrypt算法》,本文主要介绍PHP和Python语言中如何更好使用 bcrypt 算法保护口令安全。在一个系统中,可能有多种语言需要校验同一个口令密文,PHP和Python在操作上也是互通的。在 PHP 语言中,已经不建议使用 bcrypt() 算法,推荐使用Password Hashing Function...

本文是 bcrypt() 算法介绍的第二篇,第一篇参考《安全存储口令的业界标准:bcrypt算法》,本文主要介绍PHP和Python语言中如何更好使用 bcrypt 算法保护口令安全。

在一个系统中,可能有多种语言需要校验同一个口令密文,PHP和Python在操作上也是互通的。

在 PHP 语言中,已经不建议使用 bcrypt() 算法,推荐使用Password Hashing Functions。

这个库最重要的一个函数是 password_hash,原型:

屏幕快照 2019-10-14 下午10.14.33.png

$algo 表示使用那种 Hash 算法,默认是 PASSWORD_DEFAULT,表示 bcrypt 算法。

$options 可以有两个属性,cost 表示迭代因子次数,$salt 表示可以显示输入 salt,但从 php7 版本开始废弃 $salt 参数,也就是由函数生成不可猜测的 salt。

看看如何使用:

屏幕快照 2019-10-14 下午10.14.46.png

接下去重点看下口令密文的输出 $2y$07$xiJjq8T8RMl.4eIlQs3UhOGrm/WoO7.GcuQIZfOHCFdm0nVRP3WjC。

其中 $2y 表示采用 bcrypt() 算法,10 表示迭代因子,xiJjq8T8RMl.4eIlQs3UhOG 表示 salt,剩余部分才是口令密文。

等等,在《如何安全存储口令?了解下Hash加盐的原理》这篇文章中说过,salt 和口令密文应该分开存储,但很多文章在介绍 crpyt 算法的时候,都没有建议 salt 和 口令密文分开存储,从安全的角度,请务必将迭代因子、salt、口令密文分开存储。

如果想校验口令密文,那么可以使用 password_verify() 函数校验,贴代码:

屏幕快照 2019-10-14 下午10.15.01.png

还可以更新口令密文,调用 password_needs_rehash() 即可,定期更新 salt,可以更安全保护口令。

最后介绍下 Python 中的 bcrypt 包,如果没有安装,使用 pip3 install bcrypt 安装。

贴代码:

屏幕快照 2019-10-14 下午10.15.13.png

Python 和 PHP 校验口令密文是互通的,大家可以测试下。


关注我的wx g z h(ID:yudadanwx,虞大胆的叽叽喳喳)。



本文转载自异步社区。

文链接:https://www.epubit.com/articleDetails?id=Naafab154-0ce3-4796-ac95-b4433418cde5

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。