我正在为我的Web应用程序构建一个注册系统,其中用户提供用户名和密码 . 此数据存储在 postgresql
数据库中 . 我正在使用bcrypt生成用户输入密码的盐渍哈希,如下所示
import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())
这会创建一个看起来像这样的盐渍密码 - b'$2b$12$GskbcRCMFHGuXumrNt3FLO'
我将此值存储在 postgresql
数据库中 . 接下来,当用户尝试登录系统时,我想验证他/她的凭据 . 要做到这一点,我打算做一些事情 -
import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()
saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
print("Success")
这不起作用 . 它抛出以下 TypeError: Unicode-objects must be encoded before hashing
错误 .
我怀疑这个错误是因为变量 saltedpassword
将值存储为像 "b'$2b$12$GskbcRCMFHGuXumrNt3FLO'"
这样的字符串,而不仅仅是普通的 b'$2b$12$GskbcRCMFHGuXumrNt3FLO'
(请注意括号中包含salted密码的引号)
我该如何解决这个问题?在数据库中存储盐渍哈希密码的最佳方法是什么?如何在需要验证时检索它?对这个相当长的问题道歉 - 请帮忙 .
1 回答
psycopg2
存储Unicode文本,您必须在插入数据库之前解码盐渍密码:这样可以防止插入
str()
转换(在数据库中为您提供"b'....'"
) .接下来,当查询
saltedpassword
不是字符串时,因为cursor.execute()
不返回结果;它返回None
.你需要fetch the result row:
由于行包含Unicode文本,因此需要先将其编码为bytestring,然后再将其传递给
bcrypt
. 您还想使用bcrypt.checkpw()
函数来检查密码:bcrypt.checkpw()
在比较字符串时避免使用timing attacks,这是您的代码易受攻击的内容 .