担心系统的 secret key 可能泄露,想要重新更换一个 key,那以前用这个 key 哈希过的用户密码、字符串怎么更新?

2018-01-02 12:19:46 +08:00
 miniyao
有一个古老的 secret key 好多轮的版本迭代一直在用,人员进进出出也很多批了,这个盐 key 感觉上应该是在裸奔了,想要更换一个新的 secret key,系统里面现存的用户密码都是根据就的这个 key 生成的,增么换成新的 key 值重新更新下?
1354 次点击
所在节点    问与答
7 条回复
wwqgtxx
2018-01-02 12:30:36 +08:00
在用户登录的时候逐步替换,数据库加一个字段标识一下是新盐还是旧盐
SoloCompany
2018-01-02 12:47:11 +08:00
salt 不是 secret,你自己弄混了
msg7086
2018-01-02 12:48:23 +08:00
salt 应该随密码生成…… secret key 一般用在 cookie 这样无关紧要的东西上吧。
miniyao
2018-01-02 13:03:58 +08:00
@SoloCompany
@msg7086

因为是代码是这样写的😄
password= PasswordHash(salt=os.environ['SECRET_KEY'])
wwqgtxx
2018-01-02 13:23:21 +08:00
为啥不
from werkzeug.security import check_password_hash, generate_password_hash
呢,然后密码用 generate_password_hash(password, method='pbkdf2:sha512')处理就不用自己考虑盐的问题了
miniyao
2018-01-02 13:47:25 +08:00
@wwqgtxx 谢谢,新写的都改过方案了,老的历史问题遗留下来的
msg7086
2018-01-02 15:09:47 +08:00
最好应该是像 1 楼说的,做个原地替换,遇到老密码 hash 用户登录的,自动重写成正确的密码 hash。
salt 也就不用改了,就这么放着好了,这么写的代码本来就已经不可能更新了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419342

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX