【发布时间】:2017-01-03 18:30:26
【问题描述】:
我正在为我的 Web 应用程序构建一个注册系统,其中用户提供用户名和密码。此数据存储在postgresql 数据库中。我正在使用 bcrypt 生成用户输入密码的加盐哈希,如下所示
import bcrypt
hashed = bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), bcrypt.gensalt())
这会创建一个看起来像这样的加盐密码 - b'$2b$12$GskbcRCMFHGuXumrNt3FLO'
我将此值存储在postgresql 数据库中。接下来,当用户尝试登录系统时,我想验证他/她的凭据。为此,我打算按照以下方式做一些事情 -
import psycopg2
conn = psycopg2.connect("dbname=test user=me")
cur = conn.cursor()
saltedpassword = cur.execute("SELECT saltedpassword FROM test WHERE loginid = %s", (LoginIDFromWebForm,))
if bcrypt.hashpw(PasswordFromWebForm.encode('UTF-8'), saltedpassword) == saltedpassword:
print("Success")
这不起作用。它会引发以下TypeError: Unicode-objects must be encoded before hashing 错误。
我怀疑这个错误是因为变量saltedpassword 将值存储为像这样"b'$2b$12$GskbcRCMFHGuXumrNt3FLO'" 这样的字符串,而不是简单的b'$2b$12$GskbcRCMFHGuXumrNt3FLO'(请注意前者中包含加盐密码的引号)
如何解决这个问题?将加盐哈希密码存储在数据库中的最佳方法是什么?在需要验证时如何检索它?为这个相当长的问题道歉 - 请帮忙。
【问题讨论】:
标签: python postgresql python-3.x psycopg2 bcrypt