问题：

Ruby BCrypt哈希比较

慕翰学

2023-03-14

我正在尝试使用Sinatra和BCrypt实现一种看似非常简单的身份验证方法，但显然我遗漏了一些东西...

用户会预先分配一个临时密码，该密码以明文形式存储在DB中。

我根据临时口令进行身份验证，然后创建salt和password_hash，并将它们作为字符串写入db（本例中为mongo）。

为了进行身份验证，我从db和用户口令中获取salt进行比较。

post "/password_reset" do
  user = User.first(:email => params[:email], :temp_password => params[:temp_password])
  if dealer != nil then
  password_salt = BCrypt::Engine.generate_salt
  password_hash = BCrypt::Engine.hash_secret(params[:password], password_salt)
  user.set(:password_hash => password_hash)
  user.set(:password_salt => password_salt)
  end
end

post "/auth" do
  @user = User.first(:email => params[:email])
  @user_hash = BCrypt::Password.new(@user.password_hash) #because the password_hash is  stored in the db as a string, I cast it as a BCrypt::Password for comparison
  if @user_hash == BCrypt::Engine.hash_secret(params[:password], @user.password_salt.to_s)   then
    auth = true
  else
    auth = false
  end
end

bcrypt::Engine.hash_secret返回的值(Params[:password],password_salt)与db中存储的值不同（两者都属于bcrypt::password，但不匹配）。

我错过了什么？非常感谢您的洞察力！

MARC

共有1个答案

元胡媚

2023-03-14

bcrypt::password是String的子类，它重写==方法，以便更容易地检查密码。当你做的时候

if @user_hash == BCrypt::Engine.hash_secret(params[:password], @user.password_salt.to_s)

您将执行两次散列，因此它们不匹配。如果您直接与@user.password_hash进行比较，而不是使用bcrypt::password.new进行比较，您应该会看到它们是匹配的。

对密码使用bcrypt-ruby的更“正确”的方法是完全不使用engine类，只使用password类。您不需要自己管理salt,bcrypt会处理它,并将其包含在密码哈希字符串中：

password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret("s3kr1t!", password_salt)

puts password_salt
puts password_hash

产生如下内容：

$2a$10$4H0VpZjyQO9SoAGdfEB5j.
$2a$10$4H0VpZjyQO9SoAGdfEB5j.oanIOc4zp3jsdTra02SkdmhAVpGK8Z6

如果运行它，您将得到一些稍微不同的东西，因为将生成不同的salt，但您可以看到密码哈希包含salt。

在您的情况下，您需要这样的东西：

post "/password_reset" do
  user = User.first(:email => params[:email], :temp_password => params[:temp_password])
  if dealer != nil then
    password_hash = BCrypt::Password.create(params[:password])
    user.set(:password_hash => password_hash) # no need to store the salt separately in the database
  end
end

post "/auth" do
  @user = User.first(:email => params[:email])
  @user_hash = BCrypt::Password.new(@user.password_hash)
  if @user_hash == params[:password]  then # overridden == method performs hashing for us
    auth = true
  else
    auth = false
  end
end

类似资料：

pbkdf2和哈希比较

我使用mitsuhiko的pbkdf2实现进行密码哈希：此函数返回二进制摘要，然后将其编码在bas64中并保存到数据库中。此外，当用户登录时，Base64字符串被设置为cookie。此函数用于密码哈希比较：我想知道在安全性方面，二进制哈希和Base64字符串的比较是否有任何不同？例如，当用户登录时，我会计算提交密码的二进制摘要，从数据库中解码Base64字符串，然后比较两个二进制哈希，但是如
WooCommerce webhook c#-比较哈希

有人能告诉我如何从WooCommerce网络钩子中重新创建哈希以与请求中的“X-WC-Webhook-Signature”标头哈希进行比较吗？留档指定哈希是从“有效负载”生成的，但我无法生成相同的哈希。我的API是。NET Core 3.1 我尝试的第一件事：第二个：
Java和哈希算法比较文件

问题内容：我必须对指纹文件进行匹配才能匹配双峰。在2013年，对Java有何建议？我是否还应该比较文件大小，或者这是不必要的检查？误报的可能性应该非常接近0 编辑：很多答案，谢谢。如今备份软件的标准是什么？SHA-256？更高？我猜md5不合适吗？问题答案：如果假阳性的概率必须为零，而不是“比闪电击中的概率低”，则完全不能使用哈希算法；您必须逐字节比较文件。值得一提的是，如果您可以使
哈希

哈希是键/值对如果你想按名字查询，那么需要哈希。哈希的键必须唯一，但值可以是任意标量。有时候你仍然会看到人们称它为“关联数组”，但不要想当然的把它作为数组。通过键/值对列表来创建哈希使用键/值对列表创建哈希： my %stooges = ( 'Moe', 'Howard', 'Larry', 'Fine', 'Curly', 'Howard', 'Iggy'
比较PHP和NodeJS之间的BCrypt哈希

问题内容：对于我正在开发的应用程序，nodejs需要验证PHP创建的哈希，反之亦然。问题是，在node.js中测试时，PHP中生成的哈希（通过仅使用PHP 函数的Laravel 类）返回false。以下node.js脚本：输出：“ PHP失败的nodejs通过”，而以下PHP脚本：输出“ PHP通过的nodejs通过的”。我已经在Ubuntu 14.04.1中使用PHP 5.5.18，
在powershell中比较2个哈希[重复]

我是powershell的新手。我想知道为什么下面的代码总是返回“false”：什么时候一个文件是另一个文件的副本 "get-filehash tn|selet-ject hash"为两个文件返回相同的值两个文件都在同一个目录中 Tnx提前为您解答！

Ruby BCrypt哈希比较

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档