存储加密/ rand生成的字符串问题
所以我将以下go file(s)作为我的项目的一部分用于散列密码,我还写了一些据我所知的测试尚未失败的测试。
目前的问题是我试图将密码和salt作为字符串存储在某个数据库中,每次我检索它们以与另一个字符串进行比较时,我都会从golang的bcrypt包中获取图片中的消息。我写的测试运行正常并产生适当的效果。我本来会提供一个游乐场链接,但是bcrypt包是标准库的一部分。
我知道来自crypto/rand的乱码与初始外观几乎相同,但我不确定数据库中是否有任何更改。我正在使用redis fyi。
修改:根据@ 3of3的请求,我包含了我项目中的DAO代码。此bcrypt唯一的解决方案也使用此代码,但正如我在评论中所述,我的目标是坚持Mozilla的指南。
2 个答案:
答案 0 :(得分:1)
您似乎忘记了生成的哈希值是十六进制编码的,因此在将[]字节变量转换为字符串时,您会得到一些奇怪的东西。使用hex包可以创建所需的实际字符串:
hex.EncodeToString(hash)
答案 1 :(得分:1)
salt不会通过JSON编码/解码进行往返,因为salt无效UTF8。
有几种方法可以解决问题:
- Hex或base64对hasher中的salt进行编码/解码。
- 在整个代码中使用salt的[]字节类型。 JSON编码器使用base64对[]字节值进行编码。
- 使用gob编码器代替JSON编码器。
Mozilla建议将额外的盐与加密密码分开存放。通过使用加密密码存储额外的盐,系统不比单独使用bcrypt更安全。
要对盐进行十六进制编码,请更改
return string(p), string(salt), nil
到
return string(p), hex.EncodeToString(salt), nil
并更改
s := []byte(salt)
到
s, err := hex.DecodeString(salt)
if err != nil {
return err
}
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?