概述
PBKDF2(Password-Based Key Derivation Function) 是一个用来导出密钥的函数,常用于生成加密的密码。原理是通过 password 和 salt 进行 hash 加密,然后将结果作为 salt 与 password 再进行 hash,多次重复此过程,生成最终的密文。如果重复的次数足够大(几千数万次),破解的成本就会变得很高。而盐值的添加也会增加“彩虹表”攻击的难度。
用户密码采用PBKDF2算法存储,比较安全。
代码
package pbkdf2
import (
"crypto/rand"
"crypto/sha256"
"encoding/base64"
mathrand "math/rand"
"golang.org/x/crypto/pbkdf2"
)
const (
saltMinLen = 8
saltMaxLen = 32
iter = 1000
keyLen = 32
)
// EncryptPwd 加密密码
func EncryptPwd(pwd string) (encrypt string, err error) {
// 1、生成随机长度的盐值
salt, err := randSalt()
if err != nil {
return
}
// 2、生成加密串
en := encryptPwdWithSalt([]byte(pwd), salt)
en = append(en, salt...)
// 3、合并盐值
encrypt = base64.StdEncoding.EncodeToString(en)
return
}
func randSalt() ([]byte, error) {
// 生成8-32之间的随机数字
salt := make([]byte, mathrand.Intn(saltMaxLen-saltMinLen)+saltMinLen)
_, err := rand.Read(salt)
if err != nil {
return nil, err
}
return salt, nil
}
func encryptPwdWithSalt(pwd, salt []byte) (pwdEn []byte) {
pwd = append(pwd, salt...)
pwdEn = pbkdf2.Key(pwd, salt, iter, keyLen, sha256.New)
return
}
// CheckEncryptPwdMatch 验证密码是否与加密串匹配
func CheckEncryptPwdMatch(pwd, encrypt string) (ok bool) {
// 1、参数校验
if len(encrypt) == 0 {
return
}
enDecode, err := base64.StdEncoding.DecodeString(encrypt)
if err != nil {
return
}
// 2、截取加密串 固定长度
salt := enDecode[keyLen:]
// 3、比对
enBase64 := base64.StdEncoding.EncodeToString(enDecode[0:keyLen])
pwdEnBase64 := base64.StdEncoding.EncodeToString(encryptPwdWithSalt([]byte(pwd), salt))
ok = enBase64 == pwdEnBase64
return
}
参考:
用户密码到底要怎么加密存储?