将用户密码从salted SHA1升级到bcrypt

Nic*_*ick 6 php sha1 codeigniter bcrypt laravel

我被聘请在新的PHP 5.3服务器上使用Laravel 4重建一个在CodeIgniter 1.7.3(在PHP 4.2服务器上)上构建的活跃应用程序.

该系统有大约500个用户,其密码使用salted SHA-1哈希进行加密.我想使用bcrypt来提高应用程序的安全性以及与Laravel 4的身份验证系统集成.

您如何建议迁移这些用户密码？

哈希的重点是您无法恢复原始密码.

你有三个选择:

存储SHA1哈希的bcrypt哈希值,然后SHA1哈希每个密码,然后在每次登录时加密它.
这可能不是一个好主意.
下次用户登录时升级每个哈希值.(这样你就可以使用纯文本进行哈希)
这是最好的选择,但你需要保留SHA1哈希值和转换代码,直到每个用户都登录
将每个用户重置为随机加密密码并强制他们全部使用忘记密码将其更改回来.
你可能不想这样做

正如SLaks所说可能需要很长时间.也许最好为每一行存储一个"算法",告诉系统使用算法,并在下次登录时更新为bcrypt.这样您也可以在以后更改算法,并且不必担心返回并删除SHA列并弄乱某些用户的数据. (2认同)

在数据库中添加一列,告诉系统使用了哪种哈希算法
登录时,检查凭据是否正常
如果他们使用旧的并且登录成功 - 将他们输入的密码加密,并在数据库中更新他们的密码和算法.

归档时间：	12 年，1 月前
查看次数：	1928 次
最近记录：	12 年，1 月前

错误在macOS上安装Composer(JIT编译失败) 61

什么是"ANSI as UTF-8",如何使fputcsv()生成带有BOM的UTF-8？ 19

带有codeigniter的mvc项目上的phpdoc 7

Laravel 4多对多关系不起作用,没有找到数据透视表 6

使用Facebook PHP-SDK 3.x向Codeigniter 2.1.0注册/登录用户 5

在CodeIgniter中与MongoDB连接 5

在laravel中发送邮件时,缺少Illuminate\Support\Manager :: createDriver()的参数1 5

无法授予 MySQL 用户访问 information_schema 数据库的权限 5

Laravel 获取二级关系 4

Laravel 4 - 硬编码认证 4

如何查看远程Git分支？ 6408

如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件？ 4888

循环内的JavaScript闭包 - 简单实用的例子 2689

如何将命令行参数传递给Node.js程序？ 2280

我应该使用Vagrant还是Docker来创建一个孤立的环境？ 2049

如何调试Node.js应用程序？ 1531

如何迭代Bash中变量定义的一系列数字？ 1409

纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244

从不同的文件夹导入文件 1186

群集和非群集索引实际上意味着什么？ 1041