我试图编写一个脚本来将用户添加到MySQL数据库中。最终,我将所有用户都带入了数据库,但是我的应用程序登录后并没有授权他们。我尝试了许多不同的解决方案,然后我发现老用户的密码以“ $ 2a”开头,而我添加的密码为“ $ 2b”。所以我在下面插入代码。
password = bcrypt.hashpw(password.encode("UTF-8"), bcrypt.gensalt(11))
password = password.decode("UTF-8")
password = password[:2] + "a" + password[3:] #Why does this work??
突然我可以登录了。那么,为什么拥有“ $ 2a”而不是“ $ 2b”呢?该网络应用不是我的,我无法在其中检查密码的代码中找到该应用。如果有帮助,则该webapp是用Java制作的,并使用spring进行了验证。
答案 0 :(得分:2)
$2$(1999)原始的Bcrypt规范定义了$ 2 $的前缀。这遵循模块化地穴格式[...]
$2a$原始规范没有定义如何处理非ASCII字符,也没有定义如何处理空终止符。对该规范进行了修改,以指定在对字符串进行哈希处理时:
- 字符串必须为UTF-8编码
- 必须包含空终止符
- 通过此更改,版本已更改为
$2a$
$2b$(2014年2月)在bcrypt的OpenBSD实现中发现了一个错误。他们将字符串的长度存储在一个无符号字符(即8位字节)中。如果密码的长度超过255个字符,它将溢出并以255个换行。
您正在添加新格式,而该程序仅支持验证旧格式。
由于新旧格式都兼容<255个字符的密码,因此切换标头即可。但是,如果您尝试通过这种方式添加> = 256个字符的密码,则该密码将被视为无效。