那些遇到过的问题

在Ruby on Rails中验证Django密码会提供不匹配的密码

ben*_*ang 6 ruby encryption django ruby-on-rails

我正在重写Ruby on Rails中的Django应用程序,并希望保留用户的旧密码.

Django使用PBKDF2SHA1作为加密机制.所以我有一个加密密码就是这个

pbkdf2_sha256$10000$YsnGfP4rZ1IZ$Tpf4922MoNEjuJQA9EG2Elptyt3dMAyzBPUgmunFOW4=
Run Code Online (Sandbox Code Playgroud)

原始密码是 2bulls

在Ruby中,我使用PBKDF256 gem和base64进行检查.

Base64.encode64 PBKDF256.dk("2bulls", "YsnGfP4rZ1IZ", 10000, 32)
Run Code Online (Sandbox Code Playgroud)

我期待着 

Tpf4922MoNEjuJQA9EG2Elptyt3dMAyzBPUgmunFOW4=
Run Code Online (Sandbox Code Playgroud)

但是,我得到了 

YEfK6oUGFHdaKZMDXC0Dz8TpwsJlKfqC5vjCxjo+ldU=
Run Code Online (Sandbox Code Playgroud)

有任何想法吗?

UPDATE

如果它对你更有意义,可以在django源代码中找到代码.

class PBKDF2PasswordHasher(BasePasswordHasher):
    """
    Secure password hashing using the PBKDF2 algorithm (recommended)

    Configured to use PBKDF2 + HMAC + SHA256 with 10000 iterations.
    The result is a 64 byte binary string.  Iterations may be changed
    safely but you must rename the algorithm if you change SHA256.
    """
    algorithm = "pbkdf2_sha256"
    iterations = 10000
    digest = hashlib.sha256

    def encode(self, password, salt, iterations=None):
        assert password
        assert salt and '$' not in salt
        if not iterations:
            iterations = self.iterations
        hash = pbkdf2(password, salt, iterations, digest=self.digest)
        hash = base64.b64encode(hash).decode('ascii').strip()
        return "%s$%d$%s$%s" % (self.algorithm, iterations, salt, hash)

    def verify(self, password, encoded):
        algorithm, iterations, salt, hash = encoded.split('$', 3)
        assert algorithm == self.algorithm
        encoded_2 = self.encode(password, salt, int(iterations))
        return constant_time_compare(encoded, encoded_2)

    def safe_summary(self, encoded):
        algorithm, iterations, salt, hash = encoded.split('$', 3)
        assert algorithm == self.algorithm
        return SortedDict([
            (_('algorithm'), algorithm),
            (_('iterations'), iterations),
            (_('salt'), mask_hash(salt)),
            (_('hash'), mask_hash(hash)),
        ])
Run Code Online (Sandbox Code Playgroud)

结论:

事实证明只有2bulls作为密码的帐户才有这个问题.其他帐户都没问题.当我知道2bulls密码不一致的确切原因时,我会在这里发布.

小智 6

如果你2bulls使用以下脚本散列该密码(Django用来散列密码的逻辑),这就是你得到的(在Django的shell上运行):

>>> import base64, hashlib
>>> hash = pbkdf2("2bulls","YsnGfP4rZ1IZ", 10000, 32, hashlib.sha256)
>>> hash.encode('base64').strip()
'YEfK6oUGFHdaKZMDXC0Dz8TpwsJlKfqC5vjCxjo+ldU='
Run Code Online (Sandbox Code Playgroud)

请注意我是如何使用您在Ruby中使用的相同参数:

password = "2bulls"
salt = "YsnGfP4rZ1IZ"
iterations = 10000
dklen = 32
digest = hashlib.sha256
Run Code Online (Sandbox Code Playgroud)

您确定您的预期哈希对应于密码2bulls吗?

归档时间:

查看次数:

993 次

最近记录:

11 年,8 月 前
相关归档
铁轨束干净 86
Heroku问题:您要查找的页面不存在 24
序列化程序中的循环依赖 21
如何向Rails模型添加错误? 18
使用出站http代理的Rails Omniauth 15
Heroku:在 /app/config/storage.yml 中找不到 Active Storage 配置(运行时错误) 15
JavaScript - 字符串上的按位异或? 14
在Django Rest Framework中使用Tokenauthentication进行身份验证时,不会更新last_login字段 14
Selenium WebDriver错误:无效的会话ID 14
Wireshark - 读取加密数据 4
难疑归档
如何查看远程Git分支? 6408
让现有的Git分支跟踪一个远程分支? 3437
在Python中查找包含它的列表的项目的索引 2887
如何制作一个很好的R可重复的例子 2474
如何从Bash脚本检查程序是否存在? 2032
ssh"权限太开放"错误 1859
除了XHTML自包含标记之外,RegEx匹配开放标记 1323
Promises和Observables有什么区别? 1291
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
.gitignore for Visual Studio项目和解决方案 1115