投稿获客
广告
广告 广告 广告
广告 广告 广告 广告
广告 █ 推荐【菠萝云】香港16G内存99元 【CDNCloud】极速、安全可靠的加速体验 广告位联系QQ:253000106 【UStat】免费网站统计平台 SSL证书低至2折 单域名36元起 免费测试!海总一手APK免杀处理 广告位联系QQ:253000106 CDN 服务器 反炸 劫持 域名屏蔽 【UStat】专业网站统计平台 域名注册:海量域名快速注册 安卓免杀 谷歌报毒 封装 苹果签名 广告位联系QQ:253000106 【域名被劫持污染如何处理】 安卓免杀★超级签★封装★谷歌屏蔽 广告位联系QQ:253000106

*本站广告为第三方投放,如发生纠纷,请向本站索取第三方联系方式沟通

  1. 创想鸟首页
  2. 后端开发

Go 密码认证库问题排查:crypto 多次调用返回不同结果

程序猿 后端开发 阅读 0

go 密码认证库问题排查:crypto 多次调用返回不同结果

第一段引用上面的摘要:

本文旨在帮助开发者排查和解决 Go 语言密码认证库中 crypto 包多次调用返回不同结果的问题。通过分析问题代码,找出 hash 函数参数顺序错误,并提供修改建议,确保密码认证的正确性。本文适合对 Go 语言和密码学有一定了解的开发者阅读。

在开发密码认证库时,经常会遇到多次调用加密函数,但结果不一致的问题。这会导致验证失败,影响系统的安全性。本文将以一个实际案例为例,分析问题原因,并提供解决方案。

问题分析

以下代码展示了一个密码认证库的实现,包含 Check() 和 New() 两个函数,分别用于验证密码和生成新的盐值及哈希值。

package mainimport (    "code.google.com/p/go.crypto/scrypt"    "crypto/hmac"    "crypto/rand"    "crypto/sha256"    "crypto/subtle"    "errors"    "fmt"    "io")// 常量定义const (    KEYLENGTH = 32    N         = 16384    R         = 8    P         = 1)// hash 函数:使用 scrypt 进行密钥扩展,然后使用 HMAC 生成哈希值func hash(hmk, pw, s []byte) (h []byte, err error) {    sch, err := scrypt.Key(pw, s, N, R, P, KEYLENGTH)    if err != nil {        return nil, err    }    hmh := hmac.New(sha256.New, hmk)    hmh.Write(sch)    h = hmh.Sum(nil)    hmh.Reset() // 清空 HMAC,可选    return h, nil}// Check 函数:验证密码是否正确func Check(hmk, h, pw, s []byte) (chk bool, err error) {    fmt.Printf("Hash: %xnHMAC: %xnSalt: %xnPass: %xn", h, hmk, s, []byte(pw))    hchk, err := hash(hmk, pw, s)    if err != nil {        return false, err    }    fmt.Printf("Hchk: %xn", hchk)    if subtle.ConstantTimeCompare(h, hchk) != 1 {        return false, errors.New("Error: Hash verification failed")    }    return true, nil}// New 函数:生成新的盐值和哈希值func New(hmk, pw []byte) (h, s []byte, err error) {    s = make([]byte, KEYLENGTH)    _, err = io.ReadFull(rand.Reader, s)    if err != nil {        return nil, nil, err    }    h, err = hash(pw, hmk, s)    if err != nil {        return nil, nil, err    }    fmt.Printf("Hash: %xnSalt: %xnPass: %xn", h, s, []byte(pw))    return h, s, nil}func main() {    // 已知的有效值    pass := "pleaseletmein"    hash := []byte{        0x6f, 0x38, 0x7b, 0x9c, 0xe3, 0x9d, 0x9, 0xff,        0x6b, 0x1c, 0xc, 0xb5, 0x1, 0x67, 0x1d, 0x11,        0x8f, 0x72, 0x78, 0x85, 0xca, 0x6, 0x50, 0xd0,        0xe6, 0x8b, 0x12, 0x9c, 0x9d, 0xf4, 0xcb, 0x29,    }    salt := []byte{        0x77, 0xd6, 0x57, 0x62, 0x38, 0x65, 0x7b, 0x20,        0x3b, 0x19, 0xca, 0x42, 0xc1, 0x8a, 0x4, 0x97,        0x48, 0x44, 0xe3, 0x7, 0x4a, 0xe8, 0xdf, 0xdf,        0xfa, 0x3f, 0xed, 0xe2, 0x14, 0x42, 0xfc, 0xd0,    }    hmac := []byte{        0x70, 0x23, 0xbd, 0xcb, 0x3a, 0xfd, 0x73, 0x48,        0x46, 0x1c, 0x6, 0xcd, 0x81, 0xfd, 0x38, 0xeb,        0xfd, 0xa8, 0xfb, 0xba, 0x90, 0x4f, 0x8e, 0x3e,        0xa9, 0xb5, 0x43, 0xf6, 0x54, 0x5d, 0xa1, 0xf2,    }    // 验证已知值,成功    fmt.Println("Checking known values...")    chk, err := Check(hmac, hash, []byte(pass), salt)    if err != nil {        fmt.Printf("%sn", err)    }    fmt.Printf("%tn", chk)    fmt.Println()    // 使用已知的 HMAC 密钥和密码创建新的哈希值和盐值    fmt.Println("Creating new hash and salt values...")    h, s, err := New(hmac, []byte(pass))    if err != nil {        fmt.Printf("%sn", err)    }    // 验证新值,失败!    fmt.Println("Checking new hash and salt values...")    chk, err = Check(hmac, h, []byte(pass), s)    if err != nil {        fmt.Printf("%sn", err)    }    fmt.Printf("%tn", chk)}

运行以上代码,会发现使用已知值验证密码时成功,但使用新生成的哈希值和盐值验证密码时失败。这是因为 New() 函数中调用 hash() 函数时,参数顺序错误。

解决方案

Check() 函数中 hash() 函数的调用方式是正确的:

Shakker Shakker

多功能AI图像生成和编辑平台

Shakker 103 查看详情 Shakker 

hchk, err := hash(hmk, pw, s)

而在 New() 函数中,hash() 函数的调用方式是错误的:

h, err = hash(pw, hmk, s)

正确的调用方式应该是:

h, err = hash(hmk, pw, s)

修改后的 New() 函数如下:

// New 函数:生成新的盐值和哈希值func New(hmk, pw []byte) (h, s []byte, err error) {    s = make([]byte, KEYLENGTH)    _, err = io.ReadFull(rand.Reader, s)    if err != nil {        return nil, nil, err    }    h, err = hash(hmk, pw, s) // 修改此处    if err != nil {        return nil, nil, err    }    fmt.Printf("Hash: %xnSalt: %xnPass: %xn", h, s, []byte(pw))    return h, s, nil}

总结与注意事项

仔细检查函数参数顺序: 在调用参数类型相同的函数时,务必仔细检查参数顺序,避免出现类似错误。使用类型系统: 可以考虑使用更严格的类型系统,例如定义结构体来表示 HMAC 密钥、密码和盐值,以避免参数顺序错误。编写单元测试: 编写充分的单元测试是发现此类错误的有效方法。在修改代码后,务必运行单元测试,确保代码的正确性。代码版本控制: 使用 Git 等版本控制工具,可以方便地回溯代码,查找错误原因。HMAC Key 的安全性: HMAC Key 必须保密,否则攻击者可以伪造哈希值,绕过密码验证。

通过以上步骤,可以有效地排查和解决密码认证库中 crypto 包多次调用返回不同结果的问题,确保密码认证的安全性。在实际开发中,应重视代码质量,编写清晰、易懂的代码,并进行充分的测试,以避免出现类似错误。

以上就是Go 密码认证库问题排查:crypto 多次调用返回不同结果的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1133261.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月2日 17:23:58
下一篇 2025年12月2日 17:24:20

相关推荐

  • Uniapp 中如何不拉伸不裁剪地展示图片? 好文分享

    Uniapp 中如何不拉伸不裁剪地展示图片?

    灵活展示图片:如何不拉伸不裁剪 在界面设计中,常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。 对于不同尺寸的图片,可以采用以下处理方式: 极端宽高比:撑满屏幕宽度或高度,再等比缩放居中。非极端宽高比:居中显示,若能撑满则撑满。 然而,如果需要不拉伸不…

    程序猿的头像 程序猿
    2025年12月24日
    400
  • 如何让小说网站控制台显示乱码,同时网页内容正常显示? 好文分享

    如何让小说网站控制台显示乱码,同时网页内容正常显示?

    如何在不影响用户界面的情况下实现控制台乱码? 当在小说网站上下载小说时,大家可能会遇到一个问题:网站上的文本在网页内正常显示,但是在控制台中却是乱码。如何实现此类操作,从而在不影响用户界面(UI)的情况下保持控制台乱码呢? 答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体,并通过在客户端…

    程序猿的头像 程序猿
    2025年12月24日
    800
  • 如何在地图上轻松创建气泡信息框? 好文分享

    如何在地图上轻松创建气泡信息框?

    地图上气泡信息框的巧妙生成 地图上气泡信息框是一种常用的交互功能,它简便易用,能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。 利用地图库的原生功能 大多数地图库,如高德地图,都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现: 高德地图 JS API 参考文…

    程序猿的头像 程序猿
    2025年12月24日
    400
  • 如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画? 好文分享

    如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画?

    如何实现元素scrollleft变化时的平滑动画效果? 在许多网页应用中,滚动容器的水平滚动条(scrollleft)需要频繁使用。为了让滚动动作更加自然,你希望给scrollleft的变化添加动画效果。 解决方案:scroll-behavior 属性 要实现scrollleft变化时的平滑动画效果…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 如何为滚动元素添加平滑过渡,使滚动条滑动时更自然流畅? 好文分享

    如何为滚动元素添加平滑过渡,使滚动条滑动时更自然流畅?

    给滚动元素平滑过渡 如何在滚动条属性(scrollleft)发生改变时为元素添加平滑的过渡效果? 解决方案:scroll-behavior 属性 为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码: click the button to slide right!…

    程序猿的头像 程序猿
    2025年12月24日
    500
  • 如何选择元素个数不固定的指定类名子元素? 好文分享

    如何选择元素个数不固定的指定类名子元素?

    灵活选择元素个数不固定的指定类名子元素 在网页布局中,有时需要选择特定类名的子元素,但这些元素的数量并不固定。例如,下面这段 html 代码中,activebar 和 item 元素的数量均不固定: *n *n 如果需要选择第一个 item元素,可以使用 css 选择器 :nth-child()。该…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 使用 SVG 如何实现自定义宽度、间距和半径的虚线边框? 好文分享

    使用 SVG 如何实现自定义宽度、间距和半径的虚线边框?

    使用 svg 实现自定义虚线边框 如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片,但是这种方法存在引入外部资源、性能低下的缺点。 为了避免上述问题,可以使用 svg(可缩放矢量图形)来创建纯代码实现。一种方…

    程序猿的头像 程序猿
    2025年12月24日
    100
  • 如何让``元素跟随文本高度,而不是撑高父容器? 好文分享

    如何让“元素跟随文本高度,而不是撑高父容器?

    如何让 元素跟随文本高度,而不是撑高父容器 在页面布局中,经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中,父容器被较高的图片撑开,而文本的高度没有被考虑。本问答将提供纯css解决方案,让图片跟随文本高度,确保父容器的高度不会被图片影响。 解决方法 为了解决这个问题,需要将图片从文档流中脱离…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 为什么 CSS mask 属性未请求指定图片? 好文分享

    为什么 CSS mask 属性未请求指定图片?

    解决 css mask 属性未请求图片的问题 在使用 css mask 属性时,指定了图片地址,但网络面板显示未请求获取该图片,这可能是由于浏览器兼容性问题造成的。 问题 如下代码所示: 立即学习“前端免费学习笔记(深入)”; icon [data-icon=”cloud”] { –icon-cl…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 如何利用 CSS 选中激活标签并影响相邻元素的样式? 好文分享

    如何利用 CSS 选中激活标签并影响相邻元素的样式?

    如何利用 css 选中激活标签并影响相邻元素? 为了实现激活标签影响相邻元素的样式需求,可以通过 :has 选择器来实现。以下是如何具体操作: 对于激活标签相邻后的元素,可以在 css 中使用以下代码进行设置: li:has(+li.active) { border-radius: 0 0 10px…

    程序猿的头像 程序猿
    2025年12月24日
    100
  • 如何模拟Windows 10 设置界面中的鼠标悬浮放大效果? 好文分享

    如何模拟Windows 10 设置界面中的鼠标悬浮放大效果?

    win10设置界面的鼠标移动显示周边的样式(探照灯效果)的实现方式 在windows设置界面的鼠标悬浮效果中,光标周围会显示一个放大区域。在前端开发中,可以通过多种方式实现类似的效果。 使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 为什么我的 Safari 自定义样式表在百度页面上失效了? 好文分享

    为什么我的 Safari 自定义样式表在百度页面上失效了?

    为什么在 Safari 中自定义样式表未能正常工作? 在 Safari 的偏好设置中设置自定义样式表后,您对其进行测试却发现效果不同。在您自己的网页中,样式有效,而在百度页面中却失效。 造成这种情况的原因是,第一个访问的项目使用了文件协议,可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果? 好文分享

    如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果?

    如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果 想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果,可以通过以下途径: CSS 解决方案 DEMO 1: Windows 10 网格悬停效果:https://codepen.io/tr4553r7/pe…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 使用CSS mask属性指定图片URL时,为什么浏览器无法加载图片? 好文分享

    使用CSS mask属性指定图片URL时,为什么浏览器无法加载图片?

    css mask属性未能加载图片的解决方法 使用css mask属性指定图片url时,如示例中所示: mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是,在网络面板中却…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 如何用CSS Paint API为网页元素添加时尚的斑马线边框? 好文分享

    如何用CSS Paint API为网页元素添加时尚的斑马线边框?

    为元素添加时尚的斑马线边框 在网页设计中,有时我们需要添加时尚的边框来提升元素的视觉效果。其中,斑马线边框是一种既醒目又别致的设计元素。 实现斜向斑马线边框 要实现斜向斑马线间隔圆环,我们可以使用css paint api。该api提供了强大的功能,可以让我们在元素上绘制复杂的图形。 立即学习“前端…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 图片如何不撑高父容器? 好文分享

    图片如何不撑高父容器?

    如何让图片不撑高父容器? 当父容器包含不同高度的子元素时,父容器的高度通常会被最高元素撑开。如果你希望父容器的高度由文本内容撑开,避免图片对其产生影响,可以通过以下 css 解决方法: 绝对定位元素: .child-image { position: absolute; top: 0; left: …

    程序猿的头像 程序猿
    2025年12月24日
    000

  • CSS 帮助

    我正在尝试将文本附加到棕色框的左侧。我不能。我不知道代码有什么问题。请帮助我。 css .hero { position: relative; bottom: 80px; display: flex; justify-content: left; align-items: start; color:…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    200
  • HTML、CSS 和 JavaScript 中的简单侧边栏菜单 好文分享

    HTML、CSS 和 JavaScript 中的简单侧边栏菜单

    构建一个简单的侧边栏菜单是一个很好的主意,它可以为您的网站添加有价值的功能和令人惊叹的外观。 侧边栏菜单对于客户找到不同项目的方式很有用,而不会让他们觉得自己有太多选择,从而创造了简单性和秩序。 今天,我将分享一个简单的 HTML、CSS 和 JavaScript 源代码来创建一个简单的侧边栏菜单。…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 前端代码辅助工具:如何选择最可靠的AI工具? 好文分享

    前端代码辅助工具:如何选择最可靠的AI工具?

    前端代码辅助工具:可靠性探讨 对于前端工程师来说,在HTML、CSS和JavaScript开发中借助AI工具是司空见惯的事情。然而,并非所有工具都能提供同等的可靠性。 个性化需求 关于哪个AI工具最可靠,这个问题没有一刀切的答案。每个人的使用习惯和项目需求各不相同。以下是一些影响选择的重要因素: 立…

    程序猿的头像 程序猿
    2025年12月24日
    300
  • 带有 HTML、CSS 和 JavaScript 工具提示的响应式侧边导航栏 好文分享

    带有 HTML、CSS 和 JavaScript 工具提示的响应式侧边导航栏

    响应式侧边导航栏不仅有助于改善网站的导航,还可以解决整齐放置链接的问题,从而增强用户体验。通过使用工具提示,可以让用户了解每个链接的功能,包括设计紧凑的情况。 在本教程中,我将解释使用 html、css、javascript 创建带有工具提示的响应式侧栏导航的完整代码。 对于那些一直想要一个干净、简…

    程序猿的头像 程序猿
    2025年12月24日
    000

发表回复

登录后才能评论
关注微信