如何从数据库中检索密码
How to retrieve passwords from a database
我正在为我的 Web 应用程序构建一个注册系统,用户可以在其中提供用户名和密码。此数据存储在 postgresql 数据库中。我正在使用 bcrypt 生成用户输入密码的加盐哈希值,如下所示
import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())
这会创建一个看起来像这样的加盐密码 - b'b$GskbcRCMFHGuXumrNt3FLO'
我将此值存储在 postgresql 数据库中。接下来,当用户尝试登录系统时,我想验证 his/her 凭据。为此,我打算按照以下方式做一些事情 -
import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()
saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
print("Success")
这不起作用。它抛出以下 TypeError: Unicode-objects must be encoded before hashing 错误。
我怀疑这个错误是因为变量 saltedpassword 将值存储为这样的字符串 "b'b$GskbcRCMFHGuXumrNt3FLO'" 而不是普通的 b'b$GskbcRCMFHGuXumrNt3FLO' (注意引号将加盐密码括在前者)
如何解决这个问题?将加盐哈希密码存储在数据库中的最佳方法是什么?在需要验证时如何检索它?为这个相当长的问题道歉 - 请帮忙。
psycopg2 存储 Unicode text,插入数据库前必须解码加盐密码:
cur.execute("INSERT INTO test VALUES (%s, %s)",
(LoginIDFromWebForm, saltedpassword.decode('ascii')))
这会阻止插入 str() 转换(在数据库中为您提供 "b'....'")。
接下来查询的时候saltedpassword不是字符串,因为cursor.execute()没有return的结果;它 returns None 代替。
您需要 fetch the result row:
cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
row = cur.fetchone()
if not row:
# No such login ID, handle accordingly
saltedpassword = row[0].encode('ascii')
由于行包含 Unicode 文本,您需要先编码为字节串,然后再将其传递给 bcrypt。您还想使用 bcrypt.checkpw() 函数来检查密码:
if bcrypt.checkpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword):
print("Success")
bcrypt.checkpw() 在比较字符串时避免了 timing attacks,这是您的代码容易受到攻击的地方。
我正在为我的 Web 应用程序构建一个注册系统,用户可以在其中提供用户名和密码。此数据存储在 postgresql 数据库中。我正在使用 bcrypt 生成用户输入密码的加盐哈希值,如下所示
import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())
这会创建一个看起来像这样的加盐密码 - b'b$GskbcRCMFHGuXumrNt3FLO'
我将此值存储在 postgresql 数据库中。接下来,当用户尝试登录系统时,我想验证 his/her 凭据。为此,我打算按照以下方式做一些事情 -
import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()
saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
print("Success")
这不起作用。它抛出以下 TypeError: Unicode-objects must be encoded before hashing 错误。
我怀疑这个错误是因为变量 saltedpassword 将值存储为这样的字符串 "b'b$GskbcRCMFHGuXumrNt3FLO'" 而不是普通的 b'b$GskbcRCMFHGuXumrNt3FLO' (注意引号将加盐密码括在前者)
如何解决这个问题?将加盐哈希密码存储在数据库中的最佳方法是什么?在需要验证时如何检索它?为这个相当长的问题道歉 - 请帮忙。
psycopg2 存储 Unicode text,插入数据库前必须解码加盐密码:
cur.execute("INSERT INTO test VALUES (%s, %s)",
(LoginIDFromWebForm, saltedpassword.decode('ascii')))
这会阻止插入 str() 转换(在数据库中为您提供 "b'....'")。
接下来查询的时候saltedpassword不是字符串,因为cursor.execute()没有return的结果;它 returns None 代替。
您需要 fetch the result row:
cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
row = cur.fetchone()
if not row:
# No such login ID, handle accordingly
saltedpassword = row[0].encode('ascii')
由于行包含 Unicode 文本,您需要先编码为字节串,然后再将其传递给 bcrypt。您还想使用 bcrypt.checkpw() 函数来检查密码:
if bcrypt.checkpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword):
print("Success")
bcrypt.checkpw() 在比较字符串时避免了 timing attacks,这是您的代码容易受到攻击的地方。