我有一个来自 django 的数据库,我想从 Node.js 中使用它。我有一个任务:验证用户身份。从数据库可知:算法 pbkdf2_sha256、salt、10000 次迭代和 base64 编码的哈希值。我必须在 JS 中执行哪些步骤才能将某些密码编码为给定的 Base64 哈希值?
UPD:在这里找到解决方案:python (django) hashlib vs Nodejs crypto但Django生成的哈希和JS生成的哈希不匹配...
Django 生成下一个:
pbkdf2_sha256$10000$NmzpPCQiTe2R$U8ipSsOy3Xz7FwWDHdH/dTei8Xh4Q7NGtdzrCacSfvo=
JS:
pbkdf2_sha256$10000$NmzpPCQiTe2R$w4jCgWjDilrDmcOBd8K+I8OdwpkKwoVQZMKWH3FvYcKoAMKcwqlewobDocOEGMKZfQ==
密码:
Simple123
通过使用 pbkdf2-sha256 (来自您自己的链接),我能够生成一个与您从 Django 获得的哈希相同的哈希。
var pbkdf2 = require('pbkdf2-sha256');
var validatePassword = function (key, string) {
var parts = string.split('$');
var iterations = parts[1];
var salt = parts[2];
return pbkdf2(key, new Buffer(salt), iterations, 32).toString('base64') === parts[3];
};
var djangoPass = 'pbkdf2_sha256$10000$NmzpPCQiTe2R$U8ipSsOy3Xz7FwWDHdH/dTei8Xh4Q7NGtdzrCacSfvo=';
console.log(validatePassword('Simple123', djangoPass)); // Logs: true
上面的代码应该足以使用 Node 验证存储在 Django 中的密码。
我最近创建了一个项目来使这变得更容易。我的项目可用于节点,称为
node-django-hashers
。代码如下:
https://github.com/kalvish21/hashers
使用示例:
var hashers = require('node-django-hashers');
var h = new hashers.PBKDF2PasswordHasher();
var hash1 = h.encode("password", h.salt());
console.log(h.verify("password", hash1)); // returns true
console.log(h.verify("wrong_password", hash1)); // returns false
这与 django 密码哈希兼容。
我面临着类似的任务,我必须根据 Java 中的 Django 密码对用户进行身份验证。在尝试使用 Django 中的默认 pbkdf2_sha256 哈希器未能成功实现此目标后,我最终更改了用于哈希 Django 密码的方法,以便能够在 Java 中轻松复制相同的算法。
如Django文档中所述,您可以修改settings.py中定义PASSWORD_HASHERS的顺序,我将此哈希器放在第一个位置:
'django.contrib.auth.hashers.SHA1PasswordHasher'
这样,Django数据库中存储的密码哈希是这样的:
sha1$upSZarr0w7CZ$304b22b1a9e7e5387e79f50e691043d3faf83c48
如果数据库中已经有一些密码,Django 将在用户首次登录时自动转换这些密码。
您可以使用 $ 作为分隔符轻松标记哈希;第一个标记始终是 sha1(使用的算法),第二个标记是 salt,最后一个标记是实际的 hash。
要匹配密码,您可以验证
304b22b1a9e7e5387e79f50e691043d3faf83c48
是 salt 与预期密码连接的 SHA1 总和:
SHA1(upSZarr0w7CZ + password) = 304b22b1a9e7e5387e79f50e691043d3faf83c48
在我们的例子中,使用较弱的密码散列算法的安全隐患是可以接受的。
pbkdf2-sha256(https://github.com/cryptocoinjs/pbkdf2-sha256)已弃用。我们应该使用 pbkdf2 (https://www.npmjs.com/package/pbkdf2)
var pbkdf2 = require("pbkdf2");
const password = "12345678";
const djangoPassword =
"pbkdf2_sha256$120000$uUjHWJsRsQj4$d9eBwNfRW/AayPOSMjqYyT26Sm6bsC5GCK9ntDxB8jM=";
var validatePassword = function(key, string) {
var parts = string.split("$");
var iterations = parts[1];
var salt = parts[2];
const hashPassword = pbkdf2
.pbkdf2Sync(key, Buffer.from(salt), Number(iterations), 32, "sha256")
.toString("base64");
return hashPassword === parts[3];
};
console.log(validatePassword(password, djangoPassword)); // it should be print "true"
看看这个库。我认为这对你的情况非常有用
https://www.npmjs.com/package/node-passlib