我正在尝试使用此公式创建密码摘要以获取以下变量,而我的代码只是不匹配。不知道我做错了什么,但我承认当我需要帮助时。希望有人可以提供帮助。
文档中的公式:Base64(SHA1(NONCE + TIMESTAMP + SHA1(PASSWORD)))
更正密码摘要答案:+LzcaRc+ndGAcZIXmq/N7xGes+k=
ColdFusion代码:
<cfSet PW = "AMADEUS">
<cfSet TS = "2015-09-30T14:12:15Z">
<cfSet NONCE = "secretnonce10111">
<cfDump var="#ToBase64(Hash(NONCE & TS & Hash(PW,'SHA-1'),'SHA-1'))#">
我的代码输出:
Njk0MEY3MDc0NUYyOEE1MDMwRURGRkNGNTVGOTcyMUI4OUMxM0U0Qg==
答案 0 :(得分:6)
散列的有趣之处在于,即使您从正确的字符串开始,如果这些字符串被错误地组合/编码/解码,结果仍然可能完全错误。
最大的问题是,大多数这些函数实际上都与输入字符串的二进制表示一起使用。那么如何解码这些字符串会产生很大的不同。请注意,当解码为UTF-8与Hex时,相同的字符串会生成完全不同的二进制文件?这意味着Hash,ToBase64等的结果也将完全不同。
// Result: UTF-8: 65-65-68-69
writeOutput("<br>UTF-8: "& arrayToList(charsetDecode("AADE", "UTF-8"), "-"));
// Result: HEX: -86--34
writeOutput("<br>HEX: "& arrayToList(binaryDecode("AADE", "HEX"), "-"));
可能的解决方案:
当前代码的问题是ToBase64假设输入字符串编码为UTF-8。而Hash()实际上返回一个十六进制字符串。所以ToBase64()错误地解码它。相反,使用binaryDecode和binaryEncode将哈希从十六进制转换为base64:
resultAsHex = Hash( NONCE & TS & Hash(PW,"SHA-1"), "SHA-1");
resultAsBase64 = binaryEncode(binaryDecode(resultAsHex, "HEX"), "base64");
writeDump(resultAsBase64);
更强大的解决方案:
话虽如此,要非常小心字符串连接和散列。作为it does not always yield the expected results。如果不了解更多有关此特定API的信息,我无法完全确定它的期望。但是,仅使用二进制值通常更安全。不幸的是,CF的ArrayAppend()函数缺乏对二进制数组的支持,但您可以轻松使用与CF捆绑在一起的Apache's ArrayUtils类。
ArrayUtils = createObject("java", "org.apache.commons.lang.ArrayUtils");
// Combine binary of NONCE + TS
nonceBytes = charsetDecode(NONCE, "UTF-8");
timeBytes = charsetDecode(TS, "UTF-8");
combinedBytes = ArrayUtils.addAll(nonceBytes, timeBytes);
// Combine with binary of SECRET
secretBytes = binaryDecode( Hash(PW,"SHA-1"), "HEX");
combinedBytes = ArrayUtils.addAll(combinedBytes, secretBytes);
// Finally, HASH the binary and convert to base64
resultAsHex = hash(combinedBytes, "SHA-1");
resultAsBase64 = binaryEncode(binaryDecode(resultAsHex, "hex"), "base64");
writeDump(resultAsBase64);