有一个古老的 secret key 好多轮的版本迭代一直在用,人员进进出出也很多批了,这个盐 key 感觉上应该是在裸奔了,想要更换一个新的 secret key,系统里面现存的用户密码都是根据就的这个 key 生成的,增么换成新的 key 值重新更新下?
This topic created in 3058 days ago, the information mentioned may be changed or developed.
 |
1
wwqgtxx Jan 2, 2018  1
在用户登录的时候逐步替换,数据库加一个字段标识一下是新盐还是旧盐
|
 |
2
SoloCompany Jan 2, 2018 via iPhone 1
salt 不是 secret,你自己弄混了
|
 |
3
msg7086 Jan 2, 2018 2
salt 应该随密码生成…… secret key 一般用在 cookie 这样无关紧要的东西上吧。
|
 |
4
miniyao OP |
|
5
wwqgtxx Jan 2, 2018 1
为啥不
from werkzeug.security import check_password_hash, generate_password_hash 呢,然后密码用 generate_password_hash(password, method='pbkdf2:sha512')处理就不用自己考虑盐的问题了 |
|
7
msg7086 Jan 2, 2018
最好应该是像 1 楼说的,做个原地替换,遇到老密码 hash 用户登录的,自动重写成正确的密码 hash。
salt 也就不用改了,就这么放着好了,这么写的代码本来就已经不可能更新了。 |
Select Language