我正在为我的网络应用程序构建一个注册系统,其中用户提供用户名和密码。此数据存储在postgresql数据库中。我正在使用bcrypt生成用户输入密码的盐渍哈希,如下所示
import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())
这会创建一个类似于此的加密密码 - b'$2b$12$GskbcRCMFHGuXumrNt3FLO'
我将此值存储在postgresql数据库中。接下来,当用户尝试登录系统时,我想验证他/她的凭据。为此,我打算按照 -
import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()
saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
print("Success")
这不起作用。它会引发以下TypeError: Unicode-objects must be encoded before hashing错误。
我怀疑这个错误是因为变量saltedpassword将值存储为像"b'$2b$12$GskbcRCMFHGuXumrNt3FLO'"这样的字符串,而不仅仅是普通的b'$2b$12$GskbcRCMFHGuXumrNt3FLO'(请注意前面包含salted密码的引号)
如何解决这个问题?在数据库中存储盐渍哈希密码的最佳方法是什么?如何在需要验证时检索它?对这个相当长的问题道歉 - 请帮忙。
答案 0 :(得分:2)
psycopg2存储Unicode 文本,您必须在插入数据库之前解码盐渍密码:
cur.execute("INSERT INTO test VALUES (%s, %s)",
(LoginIDFromWebForm, saltedpassword.decode('ascii')))
这样可以防止插入str()转换(在数据库中为您提供"b'....'")。
接下来,当查询saltedpassword不是字符串时,因为cursor.execute()不返回结果;它会返回None。
cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
row = cur.fetchone()
if not row:
# No such login ID, handle accordingly
saltedpassword = row[0].encode('ascii')
由于行包含Unicode文本,因此在将字节串传递给bcrypt之前,需要先对其进行编码。您还想使用bcrypt.checkpw()函数来检查密码:
if bcrypt.checkpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword):
print("Success")
bcrypt.checkpw()在比较字符串时避免使用timing attacks,这是您的代码容易受到攻击的内容。