美文网首页
用node重现hustoj项目里的加密验证过程

用node重现hustoj项目里的加密验证过程

作者: 萝卜luob | 来源:发表于2017-04-06 14:25 被阅读110次

    先看下hustoj源码里用到的用户密码加密函数和验证函数

    function pwGen($password,$md5ed=False) 
{
    if (!$md5ed) $password=md5($password);
    $salt = sha1(rand());
    $salt = substr($salt, 0, 4);
    $hash = base64_encode( sha1($password . $salt, true) . $salt ); 
    return $hash; 
}
function pwCheck($password,$saved)
{
    if (isOldPW($saved)){
        $mpw = md5($password);
        if ($mpw==$saved) return True;
        else return False;
    }
    $svd=base64_decode($saved);
    $salt=substr($svd,20);
    $hash = base64_encode( sha1(md5($password) . $salt, true) . $salt );
    if (strcmp($hash,$saved)==0) return True;
    else return False;
}
function isOldPW($password)
{
    for ($i=strlen($password)-1;$i>=0;$i--)
    {
        $c = $password[$i];
        if ('0'<=$c && $c<='9') continue;
        if ('a'<=$c && $c<='f') continue;
        if ('A'<=$c && $c<='F') continue;
        return False;
    }
    return True;
}

    满满的黑历史,可以看出最早这个系统居然是明文存密码的,或者是可以漏成筛子的前端加密……
    好吧,忽略这些细节,得到这两个函数

    function pwGen($password) 
{
    $salt = sha1(rand());
    $salt = substr($salt, 0, 4);
    $hash = base64_encode( sha1($password . $salt, true) . $salt ); 
    return $hash; 
}
function pwCheck($password,$saved)
{
    $svd=base64_decode($saved);
    $salt=substr($svd,20);
    $hash = base64_encode( sha1(md5($password) . $salt, true) . $salt );
    if (strcmp($hash,$saved)==0) return True;
    else return False;
}

    随机一个盐,哈希运算两次。
    接下来就是把这两个用JavaScrip写一遍就好了……
    要是真这么简单就好了……

    PHP本质上就是个用来拼接字符串的模板引擎,到处都用字符串直接做运算,这段代码还巧妙的用了这种坑,导致写成JavaScript或其他语言要仔细盯着PHP运算过程神奇的字符编码的变化。踩完所有坑之后,写成了这个样子

    const crypto = require('crypto')

const sha1 = (data, encoding) => crypto.createHash('sha1').update(data).digest(encoding)
const md5  = (data, encoding) => crypto.createHash('md5').update(data).digest(encoding)
const rand = ()               => Math.floor(Math.random()*32768)

exports.pwGen = function pwGen(passInput) {
  const passInputMd5 = md5(passInput, 'hex') // :String
  let salt = Buffer.alloc(4)
  Buffer
    .from(sha1(rand().toString(), 'hex')) // :Buffer
    .copy(salt, 0, 0, 4)
  const result = Buffer.concat([
    sha1(passInputMd5 + salt.toString('utf8')), salt
  ]).toString('base64')
  return result
}

exports.pwCheck = function pwCheck(passInput, passSaved) {
  const passInputMd5 = md5(passInput, 'hex') // :String
  let salt = Buffer.alloc(4)
  Buffer
    .from(passSaved, 'base64')
    .copy(salt, 0, 20)
  const result = Buffer.concat([
    sha1(passInputMd5 + salt.toString('utf8')), salt
  ]).toString('base64')
  return result === passSaved
}

    直接导出,在控制器里调用。

    最后用这个模块写了个加密验证demo 点击访问

    相关文章

      网友评论

          本文标题:用node重现hustoj项目里的加密验证过程

          本文链接:https://www.haomeiwen.com/subject/ezcqattx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|用node重现hustoj项目里的加密验证过程|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!