PHP password_verify() 与 Python bcrypt.hashpw()-6ren

PHP password_verify() 与 Python bcrypt.hashpw()

转载作者：可可西里更新时间：2023-11-01 13:31:37

26

4

所以，就这样吧。

我已经设置了一个[简单的] PHP REST API，我通过 X-API-KEY header key 接收散列密码。这在与另一个 PHP 脚本交互时效果很好，并且该短语通过 PHP 的 password_hash() 方法进行哈希处理。但是，当我尝试通过 Python 和 Requests 库与 API 交互时， key 被拒绝。以下是一些示例:

PHP:

<?php
$usrid = '123456';
$dt     = new DateTime();
$secret = "secret{$usrid}{$dt->format('Ymd')}";
$hashed = password_hash($secret, PASSWORD_BCRYPT);
echo $secret."\n";
echo $hashed."\n";
echo(phpversion());
?>

python :

#!/usr/bin/python
import bcrypt, datetime, sys
usrid = '123456' # user id
t = datetime.datetime.now().strftime('%Y%m%d')
secret = "secret{usrid}{t}".format(usrid=usrid,t=t)
hashed = bcrypt.hashpw(secret, bcrypt.gensalt())
print secret
print hashed
print '%d.%d.%d' % (sys.version_info[:3])

每一个的输出如下:

PHP:
    secret12345620161116
    $2y$10$/WUBS2RkTlfcgPxvmqYRI.EkBD/CPgnpE9rYvOqweERgSwFeENUDO
    5.6.24

Python: 
    secret12345620161116
    $2b$11$9v/l6KglHiNgOybw1Y8jWeCFHiAfv.cguO1Qmc7Noe4azSluoBeHO
    2.7.11

现在，很明显它们是不同的，这就是重点，但是当您将 Python 输出传递给 PHP password_verify() 函数时，它返回 False。 PHP 输出验证正常。

一定有什么东西是我在这里遗漏的，但我这辈子都找不到了。我尝试使用不同的盐选项但没有成功。我错过了什么？两者只是不兼容吗？如果这是真的，这似乎很愚蠢。

先谢谢你们，你们这些聪明的互联网人。

更新

[我已经用以下两行测试更新了脚本]

PHP: $hashed = password_hash($secret, PASSWORD_BCRYPT, ['cost'=>11]);
Python: hashed = bcrypt.hashpw(secret, bcrypt.gensalt(11))

我已经使用这个 [PHP] 来验证以上内容:

<?php
$secret = 'secret12345620161116';

$php    = '$2y$11$rMqK7PhWtYd3E6yqqor0K.p2XEOJqbxJSrknLLWfhqZKsbYRa1YRa'; // output from php script
$python = '$2b$11$yWzCNB4dfIIVH2FLWWEQ/efSmN/KlVmLq.MGJ54plgedE1OSQgvPu'; // putput from python script

$php_needs_rehash    = password_needs_rehash($php, PASSWORD_BCRYPT);
$python_needs_rehash = password_needs_rehash($python, PASSWORD_BCRYPT);

echo 'php_needs_rehash: '.$php_needs_rehash."\n";
echo 'python_needs_rehash: '.$python_needs_rehash."\n";
echo "\n";

echo "php_info:\n";
print_r(password_get_info($php));
echo "\n";

echo "python_info:\n";
print_r(password_get_info($python));
echo "\n";

echo "php_verified: ".password_verify($secret, $php)."\n";
echo "python_verified: ".password_verify($secret, $python)."\n";
echo "\n";
?>

输出如下:

php_needs_rehash: 1
python_needs_rehash: 1

php_info:
Array
(
    [algo] => 1
    [algoName] => bcrypt
    [options] => Array
        (
            [cost] => 11
        )

)

python_info:
Array
(
    [algo] => 0
    [algoName] => unknown
    [options] => Array
        (
        )

)

php_verified: 1
python_verified: 1

所以，现在我真的很困惑，因为服务器仍然无法识别我的 python 散列 key ，如果我不按照 richardhsu 在评论中的建议将“$2b”替换为“$2y”，那就是.

最佳答案

从技术上讲，它们都是 bcrypt 或 crypt-blowfish 的不同版本

在 php 中前缀是 $2y$10$在 python 中，前缀是 $2b$11$

这意味着成本因素分别略有不同，分别为 10 和 11在您的更新中，您已将成本因素固定为 11

前缀的另一部分表示 php 使用的是 CRYPT_BLOWFISH 哈希，而 python 使用的是基于 Blowfish 密码的 bcrypt。

由于这些差异，2 个密码不可互换。

关于PHP password_verify() 与 Python bcrypt.hashpw()，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/40643196/

26

4

0

文章推荐： python - 无法使用 pip 安装 Scipy

文章推荐： Windows CPU 调度程序 - 非常高的内核时间

文章推荐： php - pimcore 中的工作流程不起作用

文章推荐： php - Laravel Fractal 不从包含关系返回元数据

Codeigniter password_verify 方法
我的 Codeigniter(3.0 版)登录模块中有这个方法。它工作正常，但这安全吗？使用 PHP password_verify 检查登录名和密码是否有更好的解决方案？(PHP 5.6，MySQL
php password_verify 不起作用
这个问题在这里已经有了答案: PHP password_verify not working against database (1 个回答) 关闭 5 年前。这应该非常简单:我正在生成一个散列密
Codeigniter password_verify 方法
我的 Codeigniter(3.0 版)登录模块中有这个方法。它工作正常，但这安全吗？使用 PHP password_verify 检查登录名和密码是否有更好的解决方案？(PHP 5.6，MySQL
php password_verify 不起作用
这个问题在这里已经有了答案: PHP password_verify not working against database (1 个回答) 关闭 5 年前。这应该非常简单:我正在生成一个散列密
PHP password_verify 不适用于数据库
我正在尝试创建一个更安全的页面，我从密码加密部分开始。我正在尝试实现 password_hash + password verify，但到目前为止，我一直未能使整个工作正常进行。所以，它在我的登录区域
php - 无法让用户输入 password_verify()
这里是登录代码，我试图让密码验证工作，但它不想。似乎这个 count($sql->fetchAll()) > 0 是问题所在，或者我调用了错误的变量给 password_verify()。 $
php - password_verify() 函数返回空变量
我使用 PHP 和 mySQLi 编写了简单的登录脚本。问题是 password_verify() 函数返回空变量。我已经仔细检查了所有内容，但我没有看到它。哪里有问题？ session_start
PHP password_verify 似乎使用一个字符串而不是另一个被认为相等的字符串
我将用户名和加密密码存储在 mysql 数据库中。仅出于测试目的，我还将密码以未加密的形式存储在数据库中。在下面的代码中，我从数据库中获取散列密码和未加密密码。然后我加密未加密的密码。给定的密码未
php - password_verify 不断带回假
好的，我已经在我的一个页面上使用了 password_hash。我想知道如何将 password_verify 应用于以下代码: 函数 selectUser($conn, $username, $p
php - 如何使用数据库中的哈希值进行 password_verify()
尝试从数据库验证散列密码，用户通过 POST 输入。经过一些简短的研究，这个问题似乎与无法将 mysqli_query 转换为字符串有关，尽管我不知道如何正确地做到这一点，因此我从另一个 SO 问题中
PHP password_verify() 和慢等于比较
我一直在努力查找有关 password_verify() 是否使用长度常数时间比较来避免定时攻击的信息。现在，简单的例子: $hash = '$2y$10$HH3906lfby7HOy1N3duQh
php - password_verify 不验证哈希
我通过 password_hash 散列我插入的密码。我使用 password_verify 验证它们。然而，当我在我的数据库中插入一个散列密码并尝试验证它时，两个输出总是彼此不同。我的页面如下，
php - password_verify 如何在不知道盐和成本的情况下验证密码？
函数password_verify()在新的 PHP 密码 API 中检查密码是否对应于哈希。哈希由 password_hash() 生成，默认情况下使用随机盐和 cost = 10。我一直认为(尽
PHP - password_verify 问题
我已经为此挠头 2 个多小时了。我研究过关于 stackoverflow 的文章，包括: Issue with Bcrypt not verifying correctly php password_
PHP password_hash(), password_verify()
我的注册脚本接受用户密码，然后使用 PHP 的 password_hash 函数对密码进行加密，然后将其放入数据库中。当我使用刚创建的用户登录时，出现检查密码是否相同的错误。就我而言，他们不是。我在登
PHP password_verify() 不适用于数据库
我正在制作一个登录和注册系统。该系统可以正常工作，所以现在我必须为数据库存储的散列密码添加安全性。但是，当我从数据库中检索散列密码并将其与用户输入的密码进行比较时，它不起作用。所以当我尝试
php - 在现有密码上使用 password_verify
我正在尝试在某人登录我的网站之前检查他们的密码和用户名。密码都存储在 password_hash($password1, PASSWORD_BCRYPT); 我不确定我做错了什么。目前，无论我输入什么
php - password_verify()替代方法？ -PHP
我正在尝试做一个简单的登录操作，如果您可以调用的话。我正在使用MySQLi，到目前为止看起来还不错。 escape_string($myusername); $link->escape
php - password_verify 返回 false
这个问题在这里已经有了答案: php password_verify() hash and pass won't match (1 个回答) 关闭 5 年前。 $query = "SELECT *
PHP password_verify 错误地返回 false
我对这个主题进行了广泛的搜索，但没有人遇到过我能找到的相同问题。我在 MySQL 表中创建一个用户，使用强度为 10 的 password_hash 的散列。我一直在努力验证它，并制作了一个测试脚

首页

博学

6Ren·AI

商城

PHP password_verify() 与 Python bcrypt.hashpw()