问题描述
我有一个包含老客户数据的数据库,因为他们的密码是使用 bcrypt 保存的来加密密码,是否可以使用 javascript 中的库使用相同的密钥解密密码?
解决方法
否。因为你不能“解密”一个散列。 哈希是一种单向函数。
你可以从鸡蛋开始 --> 煎蛋;你不能从煎蛋卷 --> 鸡蛋。
当用户提交密码时,您不会解密存储的哈希值,而是对用户输入执行相同的 bcrypt
操作并比较哈希值。如果它们相同,则您接受身份验证。
在不同语言的给定输入上使用 bcrypt
散列算法时,您是否会获得相同的散列? (Ruby 和 JavaScript,或其他)? 是的。但这并不意味着您可以解密任何一种语言的哈希值。
这里犯的错误是您将可逆加密和解密与散列混淆了,虽然从技术上讲这是一种无法(或至少不应该)解密的加密形式。
如果您想使用与当前存在的相同的一组密码,那么是的,您应该能够将密码交叉传输,并且当用户尝试登录时它们仍然应该匹配,前提是您使用相同的哈希函数而不管您使用的函数的实现方式。
如果您需要这些纯文本密码,恐怕您不走运了。
警告
可能是您的原始哈希函数使用了盐和/或种子。在匹配密码以确保返回预期的哈希值时,您需要知道/能够参考这些信息。
,他们的密码不是“保存”的,而是散列,你不能从散列中检索原始数据,这是散列和加密之间的根本区别。
如果您想了解更多信息,我推荐this article
JS bcrypt
和 Ruby 是相同的算法,因此您仍然可以使用 JS 代码针对旧客户数据库检查密码有效性。
但是,您必须记住为了获得相同的哈希值所使用的轮数。
维基百科上的更多信息bcrypt page。