所以,对吧.
我已经设置了一个[简单的] PHP REST API,我通过X-API-KEY标头密钥接收一个哈希密码.当与另一个PHP脚本连接时,这很有效,并且通过PHP的password_hash()方法对短语进行哈希处理.但是,当我尝试通过Python和Requests库与API接口时,密钥被拒绝.以下是一些示例:
PHP:
<?php
$usrid = '123456';
$dt = new DateTime();
$secret = "secret{$usrid}{$dt->format('Ymd')}";
$hashed = password_hash($secret, PASSWORD_BCRYPT);
echo $secret."\n";
echo $hashed."\n";
echo(phpversion());
?>
蟒蛇:
#!/usr/bin/python
import bcrypt, datetime, sys
usrid = '123456' # user id
t = datetime.datetime.now().strftime('%Y%m%d')
secret = "secret{usrid}{t}".format(usrid=usrid,t=t)
hashed = bcrypt.hashpw(secret, bcrypt.gensalt())
print secret
print hashed
print '%d.%d.%d' % (sys.version_info[:3])
每个的输出如下:
PHP:
secret12345620161116
$2y$10$/WUBS2RkTlfcgPxvmqYRI.EkBD/CPgnpE9rYvOqweERgSwFeENUDO
5.6.24
Python:
secret12345620161116
$2b$11$9v/l6KglHiNgOybw1Y8jWeCFHiAfv.cguO1Qmc7Noe4azSluoBeHO
2.7.11
现在,显然它们是不同的,这就是重点,但是当你将Python输出传递给PHP的password_verify()函数时,它返回False.PHP输出验证就好了.
我必须在这里找到一些东西但是,对于我的生活,我找不到它.我尝试使用不同的盐选项但没有成功.我错过了什么?这两个是不兼容吗?这看起来很愚蠢,如果这是真的.
谢谢先进的智能互联网人士.
UPDATE
[我已使用以下2行更新了脚本以进行测试]
PHP: $hashed = password_hash($secret, PASSWORD_BCRYPT, ['cost'=>11]);
Python: hashed = …