Go Web 编程--使用 bcrpyt 哈希用户密码

image

上图是一个bcrypt哈希的示例图，其由四部分组成：

• Prefix说明了使用的bcrypt的版本
• Cost是进行哈希的次数-数字越大生成bcrypt的速度越慢，成本越大。同样也意味着如果密码库被盗，攻击者想通过暴力破解的方法猜测出用户密码的成本变得越昂贵。
• Salt是添加到要进行哈希的字符串中的随机字符（21.25个字符），所以使用bcrypt时不需要我们在表里单独存储Salt。
• Hashed Text是明文字符串最终被bcrypt应用这些设置哈希后的哈希文本。

另外无论什么方法：每个密码加单独的盐进行哈希，使用bcrypt进行哈希等等，如果用户使用非常简单的密码例如password或123456，还是能被猜测出来的，所以在用户设置密码时应该禁止他们输入简单的密码。

Go语言使用bcrypt

bcrypt的原理和实现都非常复杂，不过常用的编程语言都有实现bcrypt的包让我们直接使用，在Go语言里是通过golang.org/x/crypto/bcrypt包提供bcrypt相关功能给开发者使用的。

接下来我们在http_demo项目里演示一下使用bcrypt做密码哈希和验证的方法，首先我们需要安装一下bcrypt包

$ go get golang.org/x/crypto/bcrypt

bcrypt包只提供了三个函数：

• CompareHashAndPassword 用于比对bcrypt哈希字符串和提供的密码明文文本是否匹配。
• GenerateFromPassword以给定的Cost返回密码的bcrypt哈希。如果给定的成本小于MinCost，则将成本设置为DefaultCost（10）。
• Cost返回用于创建给定bcrypt哈希的哈希成本。将来密码系统为了应对更大的计算能力而增加哈希成本时，该功能可以用于确定哪些密码需要更新。

我们创建一个处理请求的Handler程序，演示bcrypt库三个函数的功能

// ./handler/password_hashing.go
package handler

import (
    "fmt"
    "golang.org/x/crypto/bcrypt"
    "net/http"
)


func HashPassword(password string) (string, error) {
    bytes, err := bcrypt.GenerateFromPassword([]byte(password), 14)
    return string(bytes), err
}

func CheckPasswordHash(password, hash string) bool {
    err := bcrypt.CompareHashAndPassword([]byte(hash), []byte(password))
    return err == nil
}

func GetHashingCost(hashedPassword []byte) int {
    cost, _ := bcrypt.Cost(hashedPassword) // 为了简单忽略错误处理
    return cost
}

func PassWordHashingHandler(w http.ResponseWriter, r *http.Request) {
    password := "secret"
    hash, _ := HashPassword(password) // 为了简单忽略错误处理

    fmt.Fprintln(w,"Password:", password)
    fmt.Fprintln(w, "Hash:    ", hash)

    match := CheckPasswordHash(password, hash)
    fmt.Fprintln(w,"Match:   ", match)

    cost := GetHashingCost([]byte(hash))
    fmt.Fprintln(w,"Cost:    ", cost)

}

增加Handler程序的路由：

func RegisterRoutes(r *mux.Router) {
  ...
  indexRouter := r.PathPrefix("/index").Subrouter()
  indexRouter.HandleFunc("/password_hashing", handler.PassWordHashingHandler)
  ...
}

重启http_demo服务器后访问http://localhost:8000/index/password_hashing即可得到如下结果：

Password: secret
Hash:     $2a$14$Ael8nW7UF/En/iI7LGdyBuaIO8VREbL2CAShRN0EUQHqtmOHXh.XK
Match:    true
Cost:     14

本文源代码已经打包上传，公众号回复gohttp13即可获得下载链接。如果觉得我的文章有收获，请帮忙点"在看"分享给更多人。

image

---

作者： KevinYan_a990
链接： http://www.jianshu.com
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

到此这篇关于“Go Web 编程--使用 bcrpyt 哈希用户密码”的文章就介绍到这了,更多文章或继续浏览下面的相关文章，希望大家以后多多支持JQ教程网！

您可能感兴趣的文章：
Go Web 编程--使用 bcrpyt 哈希用户密码
我们应该如何保护用户的密码
PHP开发者如何做好密码保护以及Laravel底层密码存储和验证实现
PHP 加密：Password Hashing API
golang 字符串分割_Golang 微服务教程（四）
10个PHP常见安全问题（实例讲解）
Golang库集合
【哈希密码】PHP比md5更安全的加密方式
10 个 PHP 常见安全问题（实例讲解）
MySQL数据库安全解决方案