【发布时间】:2016-03-11 08:46:41
【问题描述】:
我正在使用 Node.js 使用 pbkdf2 生成密码散列并将它们存储到数据库中。此外,我正在制作一些用 php 制作的网页,让您用户重置他们的密码,所以除非我在 node.js 中使用 web 服务来构建哈希,否则我希望算法在 2 个系统中工作。不幸的是,似乎我得到了不同的结果,我无法混合这两个库。我在 node.js 中使用的代码使用基本上调用 crypto.pbkdf2 的模块 password-hash-and-salt ,而 php 使用 hash_pbkdf2。
这些是我用来测试它的脚本:
PHP:
<?php
$password = $argv[1];
$iterations = 10000;
$length = 64;
$salt = mcrypt_create_iv($length, MCRYPT_DEV_URANDOM);
$key = hash_pbkdf2("sha256", $password, $salt, $iterations, $length,true);
echo "HASH: pbkdf2\\$" . $iterations . "\\$" . bin2hex($key) . "\\$" . bin2hex($salt). "\n";
echo "Key length: " . strlen(bin2hex($key)) . "\n";
echo "Hash length: " . strlen(bin2hex($salt)) . "\n";
?>
NODE.JS:
var crypto = require('crypto');
var request = require('request');
var hasher = require('password-hash-and-salt');
if (process.argv[2] == 'generate') {
var password = process.argv[3];
console.log("Generating hash for password " + password);
hasher(password).hash(function(err, hash) {
if (err) {
console.log(err);
} else {
console.log("Result: " + hash);
}
});
} else {
var password = process.argv[3];
var hash = process.argv[4];
console.log("Testing " + password + " against " + hash);
hasher(password).verifyAgainst(hash, function(error, verified) {
if (error) console.log(error);
else {
console.log("Verification result: " + verified);
}
});
}
NODE.JS LIB 部分:
var calcHash = function() {
crypto.pbkdf2(password, salt, iterations, 64, function(err, key) {
if(err)
return callback(err);
var res = 'pbkdf2$' + iterations +
'$' + key.toString('hex') +
'$' + salt.toString('hex');
callback(null, res);
})
};
if(!salt) {
crypto.randomBytes(64, function(err, gensalt) {
if(err)
return callback(err);
salt = gensalt;
calcHash();
});
} else {
calcHash();
}
谁能告诉我我做错了什么或者算法不兼容?
谢谢!
【问题讨论】:
-
您可以在github.com/Anti-weakpasswords/PBKDF2-Test-Vectors 尝试我的 PBKDF2 测试向量,以查看两者中的相同值是否给出相同的输出(或者甚至告诉他们正在使用哪个函数,因为我有一个结果各种 HMAC)。
标签: php node.js cryptography pbkdf2