这是一个创建于 2322 天前的主题,其中的信息可能已经有所发展或是发生改变。
大佬们好,正在学 golang,打算用 beego 开发一个简单的小网站练手,但是在用户登录功能处犯了难 用户表设计如下图..
这样存储密码,在数据库中是明文的,感觉酱紫不是很好,请问 beego 有没有现成的库可以在数据库中密文存储密码的,或者大佬们可以给个思路,让我密文存储后,还可以让用户进行常规登录。
我目前能想到的就是密码先 md5 一下再存储到数据库,用户登录的时候再把用户 post 过来的给 md5 一下去与数据库中的比对,如果一样,就代表正确,但是总感觉我个菜鸟想出的方法不好,还有就是 md5 好像不太安全,网上免费暴力破解 md5 的网站太多了,求教有没有什么办法更安全,避免很容易就被破解之类的高端手法~
先谢过各位 go 前辈~ 坐等回复
 | 1 labulaka 2019-06-12 18:50:10 +08:00 via Android  1 试试 bcrypt 这个库? bcrypt.GenerateFromPassword bcrypt.CompareHashAndPassword ps:发不了链接 |
 | 2 Comdex 2019-06-12 20:38:27 +08:00 via Android 1 用 bcrypt |
 | 3 Pythondr 2019-06-12 20:41:31 +08:00 1 |
 | 4 mononite 2019-06-12 23:15:19 +08:00 比 bcrypt 更安全的是 scrypt,https://godoc.org/golang.org/x/crypto/scrypt,可以抵抗 ASIC 和 GPU 的攻击。 |
 | 5 1800x 2019-06-13 07:19:40 +08:00 via Android 单纯用摘要确实很容易破解 有专门逆向摘要的网站,提供摘要和算法,简单的摘要都能逆向出来。其逆向机制也很简单,把所有简单密码的摘要存起来,然后去查…… 我的解决办法是这样的: 既然密码简单,那就让它变复杂 将密码加上一些固定的参数,加上特殊符号,再计算摘要,摘要值长度一样,但不怕脱裤了! 比如下面的 userid:password@orgid 如果 id 是 uuid 更好 最后劝楼主早日醒悟 web 框架绝对不能解决你的所有问题 既然你选择了 go,就该扔掉 mvc 框架 |
 | 6 xmai 2019-06-13 09:18:00 +08:00 [简单处理] “加盐”的方式来存储密码,先将用户输入的密码进行一次 MD5 (或其它哈希算法)加密;将得到的 MD5 值前后加上一些随机串,再进行一次 MD5 加密。这个随机串中可以包括某些固定的串,也可以包括用户名(用来保证每个用户加密使用的密钥都不一样)。 [高级处理] 用库 https://godoc.org/golang.org/x/crypto/scrypt beego 有一份[Build web application with Golang]( https://astaxie.gitbooks.io/build-web-application-with-golang/content/zh/09.5.html) 里 <存储密码> 这章节提到。 |
Select Language