以前為了防止前端密碼安全問題,都是對密碼進行md5(password + salt)。
有些也會用別的加密方式,但還是會存在撞庫,彩虹表等破解常規密碼。
因此使用bcrypt加密是一個不錯的選擇,因為每次加密都會隨機salt,每次加密結果都不一樣,相對安全性更高些。
下面是一個示例程式碼,啟動一個http伺服器,瀏覽器輸入http://127.0.0.1:8080,當填入密碼與伺服器一致時提示成功,不一致時報錯。
package main
import (
"flag"
"fmt"
"golang.org/x/crypto/bcrypt"
"net/http"
)
func main() {
pass := flag.String("p", "admin", "check password")
flag.Parse()
password := []byte(*pass)
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
w.Write(html)
})
http.HandleFunc("/users/login", func(w http.ResponseWriter, r *http.Request) {
hashedPassword := r.FormValue("pass")
fmt.Println(hashedPassword)
err := bcrypt.CompareHashAndPassword([]byte(hashedPassword), password)
if err != nil {
fmt.Fprintln(w, err)
} else {
fmt.Fprintln(w, "password ok")
}
})
http.ListenAndServe(":8080", nil)
}
var html = []byte(`<!DOCTYPE html>
<html>
<head>
<script type="text/javascript" src="https://cdn.jsdelivr.net/gh/dcodeIO/bcrypt.js/dist/bcrypt.min.js"></script>
<script type="text/javascript" src="https://cdn.jsdelivr.net/gh/jquery/jquery@3.2.1/dist/jquery.min.js"></script>
</head>
<body>
<p>密碼: <input id="pass" type="password" name="pass"/></p>
<button type="button" onclick="login()">提交</button>
<script type="text/javascript">
function login() {
/* https://github.com/dcodeIO/bcrypt.js */
var bcrypt = dcodeIO.bcrypt;
/* 將密碼加密提交 */
$.post('/users/login',{pass: bcrypt.hashSync($('#pass').val(), 8)},
function(result) {
alert(result);
}
);
}
</script>
</body>
</html>`)
該方案實際還是有一個問題,就是前端加密傳輸的文字是無法解密的。伺服器只能用正確的密碼同前端傳上去的密文進行相同的加密規則比較密文是否一致。
此時伺服器要麼存明文密碼,要麼對密碼做非對稱加密,因為伺服器是需要明文密碼。以前使用md5值hash時,伺服器直接存hash後的字串,因此是沒有問題的。
伺服器存明文會存在密碼洩露的風險,對密碼做非對稱或對稱加密都會對伺服器造成一些效能損耗。而且最終密碼是可破解的。
有想過一個方案就是,前端初始獲取rsa公鑰,密碼使用公鑰加密,伺服器使用私鑰解密,然後把密碼進行hash與資料庫裡面的hash值比較。有些人覺得這是多此一舉。
總之各個方案都有各個方案的優缺點吧。