beego 如何把密码加密后存储

2019-06-12 18:34:06 +08:00
 richzhu

大佬们好,正在学 golang,打算用 beego 开发一个简单的小网站练手,但是在用户登录功能处犯了难 用户表设计如下图..

这样存储密码,在数据库中是明文的,感觉酱紫不是很好,请问 beego 有没有现成的库可以在数据库中密文存储密码的,或者大佬们可以给个思路,让我密文存储后,还可以让用户进行常规登录。

我目前能想到的就是密码先 md5 一下再存储到数据库,用户登录的时候再把用户 post 过来的给 md5 一下去与数据库中的比对,如果一样,就代表正确,但是总感觉我个菜鸟想出的方法不好,还有就是 md5 好像不太安全,网上免费暴力破解 md5 的网站太多了,求教有没有什么办法更安全,避免很容易就被破解之类的高端手法~

先谢过各位 go 前辈~ 坐等回复

4184 次点击
所在节点    Go 编程语言
6 条回复
labulaka
2019-06-12 18:50:10 +08:00
试试 bcrypt 这个库?

bcrypt.GenerateFromPassword
bcrypt.CompareHashAndPassword
ps:发不了链接🙄
Comdex
2019-06-12 20:38:27 +08:00
用 bcrypt
Pythondr
2019-06-12 20:41:31 +08:00
又标准库的。
https://godoc.org/golang.org/x/crypto/bcrypt
mononite
2019-06-12 23:15:19 +08:00
比 bcrypt 更安全的是 scrypt,https://godoc.org/golang.org/x/crypto/scrypt,可以抵抗 ASIC 和 GPU 的攻击。
1800x
2019-06-13 07:19:40 +08:00
单纯用摘要确实很容易破解
有专门逆向摘要的网站,提供摘要和算法,简单的摘要都能逆向出来。其逆向机制也很简单,把所有简单密码的摘要存起来,然后去查……
我的解决办法是这样的:
既然密码简单,那就让它变复杂
将密码加上一些固定的参数,加上特殊符号,再计算摘要,摘要值长度一样,但不怕脱裤了!
比如下面的 userid:password@orgid
如果 id 是 uuid 更好

最后劝楼主早日醒悟
web 框架绝对不能解决你的所有问题
既然你选择了 go,就该扔掉 mvc 框架
xmai
2019-06-13 09:18:00 +08:00
[简单处理] “加盐”的方式来存储密码,先将用户输入的密码进行一次 MD5 (或其它哈希算法)加密;将得到的 MD5 值前后加上一些随机串,再进行一次 MD5 加密。这个随机串中可以包括某些固定的串,也可以包括用户名(用来保证每个用户加密使用的密钥都不一样)。
[高级处理] 用库 https://godoc.org/golang.org/x/crypto/scrypt

beego 有一份[Build web application with Golang]( https://astaxie.gitbooks.io/build-web-application-with-golang/content/zh/09.5.html) 里 <存储密码> 这章节提到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/573311

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX