V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
miniyao
V2EX  ›  问与答

担心系统的 secret key 可能泄露,想要重新更换一个 key,那以前用这个 key 哈希过的用户密码、字符串怎么更新?

  •  
  •   miniyao · 2018-01-02 12:19:46 +08:00 · 1291 次点击
    这是一个创建于 2278 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有一个古老的 secret key 好多轮的版本迭代一直在用,人员进进出出也很多批了,这个盐 key 感觉上应该是在裸奔了,想要更换一个新的 secret key,系统里面现存的用户密码都是根据就的这个 key 生成的,增么换成新的 key 值重新更新下?
    7 条回复    2018-01-02 15:09:47 +08:00
    wwqgtxx
        1
    wwqgtxx  
       2018-01-02 12:30:36 +08:00   ❤️ 1
    在用户登录的时候逐步替换,数据库加一个字段标识一下是新盐还是旧盐
    SoloCompany
        2
    SoloCompany  
       2018-01-02 12:47:11 +08:00 via iPhone   ❤️ 1
    salt 不是 secret,你自己弄混了
    msg7086
        3
    msg7086  
       2018-01-02 12:48:23 +08:00   ❤️ 2
    salt 应该随密码生成…… secret key 一般用在 cookie 这样无关紧要的东西上吧。
    miniyao
        4
    miniyao  
    OP
       2018-01-02 13:03:58 +08:00
    @SoloCompany
    @msg7086

    因为是代码是这样写的😄
    password= PasswordHash(salt=os.environ['SECRET_KEY'])
    wwqgtxx
        5
    wwqgtxx  
       2018-01-02 13:23:21 +08:00   ❤️ 1
    为啥不
    from werkzeug.security import check_password_hash, generate_password_hash
    呢,然后密码用 generate_password_hash(password, method='pbkdf2:sha512')处理就不用自己考虑盐的问题了
    miniyao
        6
    miniyao  
    OP
       2018-01-02 13:47:25 +08:00
    @wwqgtxx 谢谢,新写的都改过方案了,老的历史问题遗留下来的
    msg7086
        7
    msg7086  
       2018-01-02 15:09:47 +08:00
    最好应该是像 1 楼说的,做个原地替换,遇到老密码 hash 用户登录的,自动重写成正确的密码 hash。
    salt 也就不用改了,就这么放着好了,这么写的代码本来就已经不可能更新了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2625 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 54ms · UTC 15:36 · PVG 23:36 · LAX 08:36 · JFK 11:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.