Wie Hashwerte mit der JavaScript-Bibliothek Node-Password-Hash vergleichen?

Question

Kurzversion:

Ich mag würde, wenn der gleiche Wert wissen, mit zufälligen Salz gehasht wird, wie kann ich überprüfen, ob derjenige, den ich jetzt „gleich“ zu dem einen ist bekam, die bereits in der Datenbank ist, gespeichert als das Benutzerpasswort. Was bedeutet gleich hier?

Lange Version:

Bisher dachte ich, dass Hash-Funktionen wie diese funktionieren, wenn Passwörter werden gehasht haben:

• einen Algorithmus wählen, lassen Sie uns sagen, es ist SHA1
• diesen Algorithmus verwenden um die Eingabe so zu ändern, dass Sie nicht erraten können, was die Eingabe war oder wie sie aussah
• Setzen Sie den Hashwert in die Datenbank mit dem Benutzer und wenn Login benötigt wird, verwenden Sie die Hash-Funktion wieder bei der Eingabe und es mit dem übereinstimmen, die bereits in der Datenbank ist
• Es wird empfohlen, zufällige Salze zu verwenden, speichern Sie sie neben den Benutzern und während der Login-Phase, nehmen Sie diese Salz heraus, um das angegebene Passwort zu hasen und zu vergleichen der Hashwert bereits in der Datenbank

Also, ich habe den folgenden Code in Node.js

var passwordHash = require('password-hash'); 

var foo = passwordHash.generate('password123'); 
var bar = passwordHash.generate('password123'); 

console.log(foo); //sha1$d1d19f32$1$d5cb099afdd9bb130c969e0394c9bf5e57d6a2aa 
console.log(bar); //sha1$df372235$1$99dfd5485e8a223e21738621bf4a7cdfca949721 


console.log(passwordHash.verify('password123', foo)); //true 
console.log(passwordHash.verify('password123', bar)); //true 

Ich weiß, dass passwordHash.generate() zufälliges Salz verwendet, dann ist es der Teil zwischen $...$. Ich kann in der Dokumentation nicht finden, dass das Salz irgendwo gespeichert wird, und wenn es ist, warum ist nicht für die zwei gehashten Werte identisch? Ich

dachte, dass passwordHash.verify() Hashes "password123" und prüft, ob es zu foo und alternativ bar identisch ist. Dies kann jedoch nicht passieren, weil ich immer wahr werde, aber foo und bar sind unterschiedlich.

Also wie funktioniert passwordHash.verify()?

Answer 1

Das Salz wird in der Zeichenfolge enthalten, die von gene getrennt durch $ Zeichen zurückgegeben:

SHA1 $ d1d19f32 $ 1 $ d5cb099afdd9bb130c969e0394c9bf5e57d6a2aa

ALG $ salt $ hash

Mit Blick auf die Quelle für die Passwort Alles was Sie tun sollten, ist die Verify-Methode für die resultierende Zeichenfolge aufzurufen, die $ und salt enthält.

Dies ist ihre Funktion überprüfen:

module.exports.verify = function(password, hashedPassword) { 
    if (!password || !hashedPassword) return false; 
    hashedPassword = makeBackwardCompatible(hashedPassword); 
    var parts = hashedPassword.split('$'); 
    if (parts.length != 4) return false; 
    try { 
    return generateHash(parts[0], parts[1], password, parts[2]) == hashedPassword; 
    } catch (e) {} 
    return false; 
}; 

Wie Sie es teilt die Eingabezeichenfolge auf dem $ sehen können, und erzeugt dann den Hash mit dem Salz und vergleicht mit dem Passwort. Das bedeutet, dass Sie die Verify-Methode mit der gesamten Zeichenfolge aufrufen sollten, die die ursprüngliche generate-Methode zurückgegeben hat, genau so, wie Sie es in Ihrer Frage getan haben.