首页 文章

如何从数据库中检索密码

提问于
浏览
0

我正在为我的Web应用程序构建一个注册系统,其中用户提供用户名和密码 . 此数据存储在 postgresql 数据库中 . 我正在使用bcrypt生成用户输入密码的盐渍哈希,如下所示

import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())

这会创建一个看起来像这样的盐渍密码 - b'$2b$12$GskbcRCMFHGuXumrNt3FLO'

我将此值存储在 postgresql 数据库中 . 接下来,当用户尝试登录系统时,我想验证他/她的凭据 . 要做到这一点,我打算做一些事情 -

import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()

saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))

if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
    print("Success")

这不起作用 . 它抛出以下 TypeError: Unicode-objects must be encoded before hashing 错误 .

我怀疑这个错误是因为变量 saltedpassword 将值存储为像 "b'$2b$12$GskbcRCMFHGuXumrNt3FLO'" 这样的字符串,而不仅仅是普通的 b'$2b$12$GskbcRCMFHGuXumrNt3FLO' (请注意括号中包含salted密码的引号)

我该如何解决这个问题?在数据库中存储盐渍哈希密码的最佳方法是什么?如何在需要验证时检索它?对这个相当长的问题道歉 - 请帮忙 .

python postgresql python-3.x psycopg2 bcrypt

1 回答

  • 2

    psycopg2 存储Unicode文本,您必须在插入数据库之前解码盐渍密码:

    cur.execute("INSERT INTO test VALUES (%s, %s)",
             (LoginIDFromWebForm,  saltedpassword.decode('ascii')))

    这样可以防止插入 str() 转换(在数据库中为您提供 "b'....'" ) .

    接下来,当查询 saltedpassword 不是字符串时,因为 cursor.execute() 不返回结果;它返回 None .

    你需要fetch the result row

    cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
row = cur.fetchone()
if not row:
    # No such login ID, handle accordingly
saltedpassword =  row[0].encode('ascii')

    由于行包含Unicode文本,因此需要先将其编码为bytestring,然后再将其传递给 bcrypt . 您还想使用 bcrypt.checkpw() 函数来检查密码:

    if bcrypt.checkpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword):
    print("Success")

    bcrypt.checkpw() 在比较字符串时避免使用timing attacks,这是您的代码易受攻击的内容 .

    回复于

相关问题