存儲的鹽漬令牌和令牌比較

Question

我生成一個由單個使用令牌組成的url，並通過電子郵件將其發送給用戶。用戶應該點擊這個鏈接並重定向到一個頁面，該頁面將驗證令牌並執行一些操作。

在數據庫方面，我存儲了這個令牌（出於安全原因散列和醃製）。問題是我在驗證令牌時遇到了一些困難，因爲我存儲它的方式不能爲同一標記生成相同的鹽。因此，我無法將這種鹽與我儲存的鹽進行比較。

# Retrieving or creating object usertokens 
usr, created = UserToken.objects.get_or_create(email=email) 
# Adding a new token 
token = uuid.uuid4().hex 
usr.token = make_password(token) # Stores in the local database the salted and hashed token 
usr.save() 

我使用的這個make_password方法定義在django.contrib.auth.hashers中。

通過使用這種方法，我不能從相同的標記生成兩次相同的鹽。

>>> token = 'test' 
>>> enc_token1 = make_password(token) 
>>> enc_token2 = make_password(token) 
>>> enc_token1 == enc_token2 
False 

但是，這並不能幫助我從我的數據庫檢索對應於令牌的條目，我無法驗證它。

Answer 1

使用一個簡單的字符串相等性檢查兩個哈希和鹽漬標記將不起作用。該Django docs for password management在django.contrib.auth.hashers命名空間來處理這一切爲你提供了一個非常簡單的方法：

>>> token = 'test' 
>>> enc_token1 = make_password(token) 
>>> check_password('test', enc_token1) 
True 

的check_password方法做了幾件事情篷子後面，像檢查，如果哈希算法發生了變化。它返回實現BasePasswordHasher基類的算法的verify方法的結果。下面是來自source of the PBKDF2PasswordHasher實現的例子：

def verify(self, password, encoded): 
    algorithm, iterations, salt, hash = encoded.split('$', 3) 
    assert algorithm == self.algorithm 
    encoded_2 = self.encode(password, salt, int(iterations)) 
    return constant_time_compare(encoded, encoded_2) 

注意如何鹽被分割在「$」的encoded_string發現，由於Django docs note是

一個用戶對象的密碼屬性在這種格式的字符串：

<algorithm>$<iterations>$<salt>$<hash>