Я использую Node.js для генерации хэширования паролей с помощью pbkdf2 и сохранения их в БД. Также я создаю несколько веб-страниц, созданных с помощью php, которые позволяют пользователю сбросить свой пароль, поэтому, если я не использую веб-сервис в node.js для создания хэша, я бы хотел, чтобы алгоритм работал в двух системах. К сожалению, кажется, что я получаю разные результаты, и я не могу смешать две библиотеки. Код, который я использую в node.js, использует модуль password-hash-and-salt, который в основном вызывает crypto.pbkdf2, в то время как php использует hash_pbkdf2.
Вот сценарии, которые я использую для тестирования:
PHP:
<?php
$password = $argv[1];
$iterations = 10000;
$length = 64;
$salt = mcrypt_create_iv($length, MCRYPT_DEV_URANDOM);
$key = hash_pbkdf2("sha256", $password, $salt, $iterations, $length,true);
echo "HASH: pbkdf2\\$" . $iterations . "\\$" . bin2hex($key) . "\\$" . bin2hex($salt). "\n";
echo "Key length: " . strlen(bin2hex($key)) . "\n";
echo "Hash length: " . strlen(bin2hex($salt)) . "\n";
?>
Node.js:
var crypto = require('crypto');
var request = require('request');
var hasher = require('password-hash-and-salt');
if (process.argv[2] == 'generate') {
var password = process.argv[3];
console.log("Generating hash for password " + password);
hasher(password).hash(function(err, hash) {
if (err) {
console.log(err);
} else {
console.log("Result: " + hash);
}
});
} else {
var password = process.argv[3];
var hash = process.argv[4];
console.log("Testing " + password + " against " + hash);
hasher(password).verifyAgainst(hash, function(error, verified) {
if (error) console.log(error);
else {
console.log("Verification result: " + verified);
}
});
}
NODE.JS LIB PART:
var calcHash = function() {
crypto.pbkdf2(password, salt, iterations, 64, function(err, key) {
if(err)
return callback(err);
var res = 'pbkdf2$' + iterations +
'$' + key.toString('hex') +
'$' + salt.toString('hex');
callback(null, res);
})
};
if(!salt) {
crypto.randomBytes(64, function(err, gensalt) {
if(err)
return callback(err);
salt = gensalt;
calcHash();
});
} else {
calcHash();
}
Может кто-нибудь сказать мне, что я делаю неправильно или что алгоритмы несовместимы?
Спасибо!
По умолчанию NodeJS PBKDF2 — SHA-1, что должно объяснить различия.
Я настоятельно призываю вас напрямую использовать функции NodeJS PBKDF2. Ваша JS-оболочка (на которую вы не ссылаетесь) также использует ее, она немного больше, чем небольшая библиотека-оболочка.
Других решений пока нет …