康盛產品Discuz、UCHome、Supesite、UCenter密碼算法規則和生成方法
[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!
康盛產品Discuz、UCHome、Supesite、UCenter密碼算法規則和生成方法
-------------------------------------------------------------------------------------------
康盛的系列產品,包括Discuz、UCHome、Supesite都集成了同一個用戶系統——UCenter,用戶登錄的密碼也保存在UCenter中,對于其他系統集成或導出數據到UCenter系統,通常會遇到密碼生成的問題,這里就討論一下UCenter的用戶密碼算法規則和生成方法。
密碼通常使用MD5對用戶密碼HASH后保存在數據庫中的方法,如果黑客拿到了這個HASH數值,那么可以采用字典的方式暴力破解,如果這個字典數據庫足夠大,并且字典比較符合人們的設置習慣的話,那很容易就能破解常見的密碼,因此UCenter采用了salt來防止這種暴力破解,salt是一隨機字符串,它與口令連接在一起,再用單向函數對其運算,然后將salt值各單向函數運算的結果存入數據庫中。如果可能的salt值的數目足夠大的話,它實際上就消除了對常用口令采用的字典式攻擊,因為黑客不可能在數據庫中存儲那么多salt和用戶密碼組合后的HASH值。
UCenter的創始人密碼是保存在文件中的,打開uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保存的就是密碼,而UC_FOUNDERSALT保存的是SALT數值,創始人密碼的創建規則是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先將密碼MD5,然后添加salt,然后再次MD5,產生的HASH數值保存在config.inc.php文件中,因此修改UC_FOUNDERPW里面的數值就可以修改UCenter的創始人密碼。
UCenter的用戶信息是保存在uc_members表中,在這個表中,每個用戶都有一個不同的隨機salt字段,表中的password字段為計算后的密碼,密碼計算規則是$password=md5(md5($password).$salt),也就是將用戶的密碼MD5后,添加salt,然后再MD5,保存在password字段中。
因此,如果進行不同系統的數據轉換,可以根據這個原理,將其他系統的用戶名和密碼計算后,導入UCenter的uc_members表中,實現用戶的遷移。例如,如果原有系統使用的是md5(password)這樣的算法保存密碼,那就通過程序隨機生成salt,然后計算兩者累加后的md5,這樣就很容易計算出這個用戶在UCenter中的用戶密碼HASH值,從而實現用戶的無縫遷移。
不過,如果原有系統使用的是md5(password+salt)的方式保存的密碼,那就無法實現密碼的平滑遷移UCenter了,即使遷移,也只能人為將其UCenter的password增加一個salt才能使用,因此,我們在平時設計系統用戶密碼的時候,應該盡量采用md5(md5(password)+salt)的方式保存密碼,這樣才能方便的實現和UCenter的接口,并且保證了安全性,通常對于英文用戶名來說,自建系統使用username來做salt是個簡便的方法。
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!