javascript - 获取 'sha512'密文的实际文本

Question

所以我正在开发一个使用 php、mysql 和 javascript 的网站，以及使用代码“sha512”来加密成员的密码:

$password = filter_input(INPUT_POST, 'p', FILTER_SANITIZE_STRING);
$random_salt = hash('sha512', uniqid(mt_rand(1, mt_getrandmax()), true));
$password = hash('sha512', $password . $random_salt);

p 值来自:

function formhash(form) {
    var password = randomString();
    var p = document.createElement("input");
    form.appendChild(p);
    p.name = "p";
    p.type = "hidden";
    p.value = hex_sha512(password.value);
    password.value = "";
    form.submit();
}       

function randomString() {
    var text = "";
    var possible = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";

    for( var i=0; i < 9; i++ )
        text += possible.charAt(Math.floor(Math.random() * possible.length));

    return text;
}

我的想法是通过输入他们的电子邮件来重置用户密码并生成随机的 8 个字符，然后将其直接发送到他们的电子邮件。我现在面临的问题是如何获取已生成的实际密码(未加密)，以便将其自动发送到请求重置密码的成员(member)的电子邮件中？

Answer 1

好问题。

首先，您永远不应以明文形式向用户发送密码。出于多种原因，这被认为是一种不良的安全做法。如果有人可以访问该电子邮件，那么他们就拥有了密码并可以劫持用户帐户。其次，散列是一种单向加密形式，您可以将密码变成乱码。散列的最大值(value)在于相同的密码每次都会变成相同的乱码。这意味着您可以在不存储原始密码的情况下进行密码匹配。您应该散列密码而不像 AES-256 那样进行双向加密的原因是，双向加密需要创建、管理和保护加密 key ，这可能很困难。对于绝大多数开发人员而言，散列更简单、更安全。

如果无法发送原始密码，应该如何实现密码重置？您向用户发送一封电子邮件，其中包含指向安全重置页面的链接和一个在特定窗口内过期的一次性使用重置 token 。这样，如果有人可以访问电子邮件，则风险窗口将限制在短窗口内。

有多种方法可以自行构建，但获得无需存储或管理的一次性使用 token 的一种简单方法是将用户管理卸载到 Stormpath 等微服务，由它负责所有工作为您进行用户管理——密码重置、密码存储、用户配置文件、身份验证等。

对于密码重置，它看起来像这样:

用户在网页发起密码重置工作

1. 您使用用户的电子邮件地址或用户名对 stormpath 进行 API 调用
2. Stormpath 向用户(您的“发件人”地址、自定义 HTML 等)发送带有链接 + token 的重置电子邮件。唯一、一次性使用、24小时内不使用过期的重置 token
3. 用户点击链接并进入重置页面
4. 您从 URL 中提取 token 并检查 Stormpath 以进行 token 验证
5. 用户提交新密码
6. Stormpath 发送重置成功消息(您的“发件人”地址、自定义 HTML 等)

您可以在此流程中构建自己的 UI，这样用户永远不会知道 Stormpath 的存在。

现在，您不必在数据库中管理、存储或保护任何密码或重置 token 。

以下是社区管理的 PHP SDK 的一些链接。
http://docs.stormpath.com/php/quickstart/ http://docs.stormpath.com/php/product-guide/

完全披露 - 我在 Stormpath 工作