我已经实现了我的邮件服务器,如here所示。
它完美无缺。我的好奇心围绕着将用户输入数据库并对其进行身份验证
运行:
INSERT INTO users (email, password) VALUES ('sales@example.com', ENCRYPT('password'));
多次为加密密码提供不同的哈希,因为它使用随机盐。即如果我使用相同的密码输入sales@example.com三次,则每个哈希值都不同......
我的问题是,当用户通过邮件客户端登录时,Postfix服务器如何实际验证密码?
每个说法没有任何问题,因为它工作正常,更多只是为了满足我的好奇心,所以我完全可以理解幕后发生的事情,以正确验证加密密码。
答案 0 :(得分:3)
Postfix将数据库中的密码与使用salt完成的新加密(来自db的密码)进行比较。
加密:
update user set password = ENCRYPT('1234') where id = 1
检查密码:
SELECT u.* FROM user u where u.email ='admin@dominio.com'
and ENCRYPT('1234', u.password) = u.password
答案 1 :(得分:2)
读取man crypt:它返回返回值前两个字符中的salt。
因此盐不会丢失,您可以将加密的字符串与crypt的结果进行比较('pass',$ first_two_chars_of_encrypted_value)。
答案 2 :(得分:-3)
你必须使用ENCRYPT('pass','salt')强制盐,否则盐会永远消失,你无法恢复它。没有它,相当无意义的功能。但是,这是一个非常糟糕的功能,因为安全性是如此之小;改为使用PASSWORD()或OLD_PASSWORD()。
ENCRYPT()使用系统crypt(),它可以使用全部或仅前8个字符,必须是可打印的7位ascii,通常使用1轮基于DES的哈希,并且完全不可移植。避免它。