GolangNote

Golang笔记

golang 用 crypto/bcrypt 存储密码的例子

Permalink

安全存储用户密码的原则是:如果网站数据泄露了,密码也不能被还原。

golang crypto/bcrypt 存储密码

以前常用简单的方式是通过md5 多层加密及加盐。比如:

Bash: md5
1
 
md5( md5( password + '用户注册的时间戳' )[8:20] )

这种可以在安全度不够高的情况下使用,下面介绍一种较为安全的加密方式,使用GoLang golang.org/x/crypto/bcrypt 模块

Go: bcrypt 加密
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
package main

import (
    "fmt"
    "golang.org/x/crypto/bcrypt"
)

func main() {

    passwordOK := "admin"
    passwordERR := "adminxx"

    hash, err := bcrypt.GenerateFromPassword([]byte(passwordOK), bcrypt.DefaultCost)
    if err != nil {
        fmt.Println(err)
    }
    //fmt.Println(hash)

    encodePW := string(hash)  // 保存在数据库的密码,虽然每次生成都不同,只需保存一份即可
    fmt.Println(encodePW)

    // 正确密码验证
    err = bcrypt.CompareHashAndPassword([]byte(encodePW), []byte(passwordOK))
    if err != nil {
        fmt.Println("pw wrong")
    } else {
        fmt.Println("pw ok")
    }

    // 错误密码验证
    err = bcrypt.CompareHashAndPassword([]byte(encodePW), []byte(passwordERR))
    if err != nil {
        fmt.Println("pw wrong")
    } else {
        fmt.Println("pw ok")
    }
}

多运行几次,有下面输出:

Bash: go run 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
$ go run pw.go 
$2a$10$hgO0qRlaJtRyHrlPlbqIleHiTc5qCZANGQIDx375GYYV16i0lagqa
pw wrong
$ go run pw.go 
$2a$10$mVAPL9CNFeLJCIcU6Kwx9OPTRssCss.e9OC.O4jh.SBAb0OlyODV.
pw ok
$ go run pw.go 
$2a$10$tm3I/BWUr4kZUr85W/WMLu.q4U2qB5fZ5CvMgOl3ITZ7G2rYfR3oK
pw ok
pw wrong
$ go run pw.go 
$2a$10$sMoypQej4gFVdECYby.E.ecM0XODDShEoEjxmSAzLJNkf1qkxkwee
pw ok
pw wrong
$ go run pw.go 
$2a$10$BmwZfj4aUIaxOfiFUYU0KepjI2x.PmFbxjrN1YxzyPOb/Ee0iOuNm
pw ok
pw wrong

如果你还不会使用可以参考 官方 crypto/bcrypt 文档287

本文网址: https://golangnote.com/topic/44.html 转摘请注明来源

Related articles

谷歌翻译的 golang 库推荐

Google 的翻译越来越好了,官方的Golang SDK 已经很完美,这里介绍的是几个非官方发布的有特色的库。...

Golang http IPv4/IPv6 服务

Golang 的网络服务,如果不指定IPv4 或 IPv6,如果VPS 同时支持 IPv4 和 IPv6,`net.Listen()` 只会监听 IPv6 地址。但这不影响客户端使用 IPv4 地址来访问。...

Golang Web 程序生产环境独立部署示例

一个 web 应用通常是跑在一个前端代理,如 Nginx 后,这样可以方便的在同一个服务器部署多个应用。这里说的独立部署是指让 go web 程序直接暴露在外面,独占 443、80 端口(俗称裸跑)。这样做除了性能有些提高外,更重要的是部署方便。...

Golang phantomjs 动态代理实现

phantomjs 是个很优秀的软件,虽然现在被chrome headless 抢了风头,但在某些特定场合,使用phantomjs 还是很方便,这里是介绍使用Go 实现动态代理。...

Write a Comment to "golang 用 crypto/bcrypt 存储密码的例子"

Submit Comment Login
Based on Golang + fastHTTP + sdb | go1.22.3 Processed in 1ms