个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
24
4
我一直在探索 Twin-Bcrypt JavaScript 库,发现了一件奇怪的事情。有一次,我在服务器端使用 PHP base64_encode(openssl_random_pseudo_bytes(16)) 制作了自己的盐,并将其用于 TwinBcrypt.hash() 函数,该函数响应由于库中的常规模式不匹配,该盐无效。所以,模式是:
var SALT_PATTERN = /^\$2[ay]\$(0[4-9]|[12][0-9]|3[01])\$[.\/A-Za-z0-9]{21}[.Oeu]/;
我的盐看起来不错,除了一件事 - 这到底是什么 - [.Oeu]?
我的第一个问题是,为什么他们期望盐以点、O、e或结尾你?据我所知,openssl_random_pseudo_bytes() 生成安全的 CSPRNG,但由于模式 JS 库不想接受它。
第二个问题 - salt 以 /[.Oeu]/ 模式结尾是否有任何安全原因?
如果有任何帮助,我将不胜感激,因为关于它的信息不多。
最佳答案
我不太了解 bcrypt,但 Twin-Bcrypt 似乎希望 salt 参数包含完整的类型标签 (2a/ 2y/2x),成本参数,和实际加密盐值。 (我相信这样做是为了满足其他库的期望。)加密盐值只是 salt 参数字符串的最后 22 个字符,代表一个 128 位值。
要真正解决您的问题,您需要做两件事:
在您的 salt 前加上 $2y$10$,使其具有类型标签和成本参数。
将您的 PHP base64_encode 结果映射到 bcrypt 的非标准 base64 值。作为引用,这些值是:
Standard: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
bcrypt: ./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789
如果您只是想将标准的 base64 转换为 brcypt-base64 字符串,您可以将所有 + 替换为 .,但这会导致不同的值(因为标准 + 是一个 62 而 . 是一个 0,所有其他值也被偏移).如果您想要一个与原始值相同的 brypt 字符串,则需要将每个字符替换为它的 bcrypt 等价物。
您可能还需要从标准字符串中删除尾随 =(如果存在)。
额外信息:为什么 salt 必须以 [.Oeu] 结尾?
bcrypt 中的盐是 128 位。每个 base64 字符传达 6 位信息。这意味着 21 个 base64 字符可以平均通信 126 位。最后 2 位必须编码为最后的第 22 个字符。由于该字符仅由 2 位定义,因此它只能有 4 个可能的值。
当我们检查 brypt 的 base64 字符池时,我们看到:
./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789
从零开始计数,我们看到这些值出现在索引处:
. => 0 = 000000
O => 16 = 010000
e => 32 = 100000
u => 48 = 110000
因此最后两位设置了最终字符的高端位。
关于javascript - JS Twin-Bcrypt 盐模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28674246/
24
4
0
对此感到疯狂,真的缺少一些东西。 我有webpack 4.6.0,webpack-cli ^ 2.1.2,所以是最新的。 在文档(https://webpack.js.org/concepts/mod
object Host "os.google.com" { import "windows" address = "linux.google.com" groups = ["linux"] } obj
每当我安装我的应用程序时,我都可以将数据库从 Assets 文件夹复制到 /data/data/packagename/databases/ .到此为止,应用程序工作得很好。 但 10 或 15 秒后
我在 cc 模式缓冲区中使用 hideshow.el 来折叠我不查看的文件部分。 如果能够在 XML 文档中做到这一点就好了。我使用 emacs 22.2.1 和内置的 sgml-mode 进行 xm
已结束。此问题不符合 Stack Overflow guidelines .它目前不接受答案。 我们不允许提出有关书籍、工具、软件库等方面的建议的问题。您可以编辑问题,以便用事实和引用来回答它。 关闭
根据java: public Scanner useDelimiter(String pattern) Sets this scanner's delimiting pattern to a patt
我读过一些关于 PRG 模式以及它如何防止用户重新提交表单的文章。比如this post有一张不错的图: 我能理解为什么在收到 2xx 后用户刷新页面时不会发生表单提交。但我仍然想知道: (1) 如果
看看下面的图片,您可能会清楚地看到这一点。 那么如何在带有其他一些 View 的简单屏幕中实现没有任何弹出/对话框/模式的微调器日期选择器? 我在整个网络上进行了谷歌搜索,但没有找到与之相关的任何合适
我不知道该怎么做,我一直遇到问题。 以下是代码: rows = int(input()) for i in range(1,rows): for j in range(1,i+1):
我想为重写创建一个正则表达式。 将所有请求重写为 index.php(不需要匹配),它不是以/api 开头,或者不是以('.html',或'.js'或'.css'或'.png'结束) 我的例子还是这样
MVC模式代表 Model-View-Controller(模型-视图-控制器) 模式 MVC模式用于应用程序的分层开发 Model(模型) - 模型代表一个存取数据的对象或 JAVA PO
我想为组织模式创建一个 RDF 模式世界。您可能知道,组织模式文档基于层次结构大纲,其中标题是主要的分组实体。 * March auxiliary :PROPERTIES: :HLEVEL: 1 :E
我正在编写一个可以从文件中读取 JSON 数据的软件。该文件包含“person”——一个值为对象数组的对象。我打算使用 JSON 模式验证库来验证内容,而不是自己编写代码。符合代表以下数据的 JSON
假设我有 4 张 table 人 公司 团体 和 账单 现在bills/persons和bills/companys和bills/groups之间是多对多的关系。 我看到了 4 种可能的 sql 模式
假设您有这样的文档: doc1: id:1 text: ... references: Journal1, 2013, pag 123 references: Journal2, 2014,
我有这个架构。它检查评论,目前工作正常。 var schema = { id: '', type: 'object', additionalProperties: false, pro
这可能很简单,但有人可以解释为什么以下模式匹配不明智吗?它说其他规则,例如1, 0, _ 永远不会匹配。 let matchTest(n : int) = let ran = new Rand
我有以下选择序列作为 XML 模式的一部分。理想情况下,我想要一个序列: 来自 my:namespace 的元素必须严格解析。 来自任何其他命名空间的元素,不包括 ##targetNamespace和
我希望编写一个 json 模式来涵盖这个(简化的)示例 { "errorMessage": "", "nbRunningQueries": 0, "isError": Fals
首先,我是 f# 的新手,所以也许答案很明显,但我没有看到。所以我有一些带有 id 和值的元组。我知道我正在寻找的 id,我想从我传入的三个元组中选择正确的元组。我打算用两个 match 语句来做到这
我是一名优秀的程序员,十分优秀!