我想使用bcrypt来加密密码,然后在以后验证提供的密码是否正确。
加密密码很容易:
import bcrypt
password = u'foobar'
password_hashed = bcrypt.hashpw(password, bcrypt.gensalt())
# then store password_hashed in a database
如何将明文密码与存储的哈希值进行比较?
6个回答
71
使用py-bcrypt,您无需单独存储salt: bcrypt会将salt存储在散列中。
您可以将散列直接用作salt,而salt存储在散列的开头。
>>> import bcrypt
>>> salt = bcrypt.gensalt()
>>> hashed = bcrypt.hashpw('secret', salt)
>>> hashed.find(salt)
0
>>> hashed == bcrypt.hashpw('secret', hashed)
True
>>>
- user1581840
3
19
文档中没有提到存储盐,只需要执行以下操作:
#Initial generation
hashed = bcrypt.hashpw(password, bcrypt.gensalt())
#Store hashed in your db
#Load hashed from the db and check the provided password
if bcrypt.hashpw(password, hashed) == hashed:
print "It matches"
else:
print "It does not match"
- user317033
3
每次调用bcrypt.gensalt()时都会生成一个新的盐,因此您必须将盐与bcrypt.hashpw()的结果一起保存。 - skyler
10使用bcrypt时,盐值被存储为哈希的一部分。它被保存在哈希中,并且哈希会自动与其进行比较。 - Jonathan Vanasco
5使用
== 比较哈希值会引入安全问题(时间攻击)。应该使用 hmac.compare_digest。 - rubik6
稍后,假设您有一个用户输入的密码
user_pass。您也会对其进行哈希处理,然后比较哈希值和存储的哈希值,如果它们匹配,则原始密码也匹配。
请注意,bcrypt自动将盐值作为加密密码的一部分进行存储,以便在将来对输入进行哈希时可以使用它。
第一次:
import bcrypt
password = u'foobar'
salt = bcrypt.gensalt()
password_hashed = bcrypt.hashpw(password, salt)
# store 'password_hashed' in a database of your choosing
后来的时代:
import bcrypt
password = something_that_gets_input()
stored_hash = something_that_gets_this_from_the_db()
if bcrypt.hashpw(password, stored_hash) == stored_hash:
# password matches
- Amber
2
谢谢!作为一个新手,我完全没有意识到盐和密码需要被存储并随后进行比较。非常感谢! - MFB
3使用bcrypt时不需要存储盐值。下面的答案是正确的。 - Sharoon Thomas
6
我对Python不太熟悉,但我认为你可以使用以下方法:
public static boolean checkpw(java.lang.String plaintext,
java.lang.String hashed)
该方法是用于检查哈希密码是否与明文密码匹配的公共静态布尔值。
# Check that an unencrypted password matches one that has
# previously been hashed.
if bcrypt.checkpw(plaintext, hashed):
print "It matches"
else:
print "It does not match"
- Govind Singh
1
1+1 为
checkpw(),但在生成或检查密码之前,请不要忘记使用 encode('utf-8') 或任何您在对明文进行哈希处理时使用的编码。 - SATYAJEET RANJAN0
我认为这个会更好用:
for i in range(len(rserver.keys())):
salt = bcrypt.gensalt(12)
mdp_hash = rserver.get(rserver.keys()[i])
rserver.set(rserver.keys()[i], bcrypt.hashpw(mdp_hash.encode(),bcrypt.gensalt(12) ))
rsalt.set(rserver.keys()[i], salt)
- StarGit
0
首先从数据库中检索哈希密码。
hashed_pwd = ...
plain_text_pwd = 'my_password'
pwdbytes = plain_text_password.encode('utf-8)
假设您的密码以文本格式存储在数据库中,可以像这样进行比较:
if bcrypt.hashpw(pwdbytes, hashed_pwd.encode('utf-8')).decode('UTF-8') == hashed_pwd:
print('Login successfull')
如果它以字节(blob)的形式存储,可以这样比较:
if bcrypt.hashpw(pwdbytes, hashed_pwd) == hashed_pwd:
print('Login successfull')
- Prateek p
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 121 node.bcrypt.js如何比较未加盐的哈希密码和明文密码?
- 3 Bcrypt哈希密钥太短,无法成为Bcrypt密码。
- 12 密码加密/crypto/bcrypt:哈希密码与给定密码的哈希值不同
- 6 如何使用“Bcrypt”宝石比较解密密码和加密密码?
- 10 Node.js - 如何比较两个 bcrypt 哈希密码
- 5 NODE.JS - 如何使用bcrypt检查Laravel哈希密码?
- 3 Nodejs: 在bcrypt中,比较密码哈希时返回false
- 3 将电子邮件地址和密码都使用bcrypt哈希。
- 14 如何将密码文本与bcrypt哈希值进行比较?
- 5 如何在Symfony 3中比较密码(Bcrypt哈希值)?
hash是 Python 2 和 3 的保留关键词(内置函数),如果你设置hash = ...,将会在你所在的作用域内覆盖内置函数。我建议把它改成像hashed或pw_hash等其他名称。 - alichaudryhash必须被替换为其他名称 :)。 - ivanleoncz'secret'.encode()。注:在 Python 3 中测试通过。 - Yamaneko