9

我有一个来自 django 的数据库,我想从 Node.js 使用它。我有一个任务:验证用户。从数据库已知:算法 pbkdf2_sha256、盐、10000 次迭代和 base64 编码的哈希。我必须在 JS 中执行哪些步骤才能将某些密码编码为给定的 base64-hash?

UPD:在这里找到解决方案:python (django) hashlib vs Nodejs crypto 但是 Django 生成的哈希和 JS 生成的哈希不匹配...
Django 生成下一个:

pbkdf2_sha256$10000$NmzpPCQiTe2R$U8ipSsOy3Xz7FwWDHdH/dTei8Xh4Q7NGtdzrCacSfvo=

JS:

pbkdf2_sha256$10000$NmzpPCQiTe2R$w4jCgWjDilrDmcOBd8K+I8OdwpkKwoVQZMKWH3FvYcKoAMKcwqlewobDocOEGMKZfQ==

密码:Simple123

4

4 回答 4

11

通过使用pbkdf2-sha256(来自您自己的链接),我能够生成一个与您从 Django 获得的哈希相同的哈希。

var pbkdf2 = require('pbkdf2-sha256');
var validatePassword = function (key, string) {
    var parts = string.split('$');
    var iterations = parts[1];
    var salt = parts[2];
    return pbkdf2(key, new Buffer(salt), iterations, 32).toString('base64') === parts[3];
};
var djangoPass = 'pbkdf2_sha256$10000$NmzpPCQiTe2R$U8ipSsOy3Xz7FwWDHdH/dTei8Xh4Q7NGtdzrCacSfvo=';
console.log(validatePassword('Simple123', djangoPass)); // Logs: true

上面的代码应该足以使用 Node.js 验证存储在 Django 中的密码。

于 2014-05-09T09:13:25.413 回答
2

我最近创建了一个项目来使这更容易。我的项目可用于节点,名为node-django-hashers. 代码如下:

https://github.com/kalvish21/hashers

示例用法:

var hashers = require('node-django-hashers');

var h = new hashers.PBKDF2PasswordHasher();
var hash1 = h.encode("password", h.salt());
console.log(h.verify("password", hash1)); // returns true
console.log(h.verify("wrong_password", hash1)); // returns false

这与 django 密码哈希兼容。

于 2016-03-18T23:09:18.013 回答
0

我面临一个类似的任务,我必须根据 Java 中的 Django 密码对用户进行身份验证。在尝试使用 Django 中的默认 pbkdf2_sha256 散列器未成功实现此目标后,我最终更改了用于散列 Django 密码的方法,以便能够轻松地在 Java 中复制相同的算法。

Django 文档中所述,您可以修改在 settings.py 中定义 PASSWORD_HASHERS 的顺序,我将此哈希器放在首位:

'django.contrib.auth.hashers.SHA1PasswordHasher'

这样存储在 Django 数据库中的密码哈希是这样的:

sha1$upSZarr0w7CZ$304b22b1a9e7e5387e79f50e691043d3faf83c48

如果您在数据库中已经有一些密码,它们将在第一次用户登录时由 Django 自动转换。

您可以使用 $ 作为分隔符轻松标记哈希;第一个标记始终是 sha1 (使用的算法),第二个标记是,最后一个标记是实际的hash

要匹配密码,您可以验证

304b22b1a9e7e5387e79f50e691043d3faf83c48

是与预期密码连接的的 SHA1 总和:

SHA1(upSZarr0w7CZ + password) = 304b22b1a9e7e5387e79f50e691043d3faf83c48

在我们的案例中,使用较弱的密码散列算法的安全隐患是可以接受的。

于 2013-10-29T14:13:27.643 回答
0

pbkdf2-sha256( https://github.com/cryptocoinjs/pbkdf2-sha256 ) 已被弃用。我们应该使用 pbkdf2 ( https://www.npmjs.com/package/pbkdf2 )

var pbkdf2 = require("pbkdf2");

const password = "12345678";
const djangoPassword =
  "pbkdf2_sha256$120000$uUjHWJsRsQj4$d9eBwNfRW/AayPOSMjqYyT26Sm6bsC5GCK9ntDxB8jM=";

var validatePassword = function(key, string) {
  var parts = string.split("$");
  var iterations = parts[1];
  var salt = parts[2];
  const hashPassword = pbkdf2
    .pbkdf2Sync(key, Buffer.from(salt), Number(iterations), 32, "sha256")
    .toString("base64");
  return hashPassword === parts[3];
};

console.log(validatePassword(password, djangoPassword)); // it should be print "true"
于 2020-01-12T06:57:37.647 回答