Gocrypto多次调用结果不一致解决方法
2025-11-07 21:54:33
0浏览
收藏
本文旨在帮助开发者解决在使用 Go 语言 `crypto` 包进行密码认证时,多次调用加密函数结果不一致的问题。通过一个实际案例,深入分析了由于 `hash` 函数参数顺序错误导致验证失败的原因,并提供了详细的修改建议和代码示例。本文强调了仔细检查函数参数顺序、利用类型系统、编写单元测试以及代码版本控制的重要性,旨在帮助开发者避免类似错误,确保密码认证的安全性。适用于对 Go 语言和密码学有一定了解的开发者阅读,帮助他们构建更安全可靠的密码认证系统。
第一段引用上面的摘要:
本文旨在帮助开发者排查和解决 Go 语言密码认证库中 crypto 包多次调用返回不同结果的问题。通过分析问题代码,找出 hash 函数参数顺序错误,并提供修改建议,确保密码认证的正确性。本文适合对 Go 语言和密码学有一定了解的开发者阅读。
在开发密码认证库时,经常会遇到多次调用加密函数,但结果不一致的问题。这会导致验证失败,影响系统的安全性。本文将以一个实际案例为例,分析问题原因,并提供解决方案。
问题分析
以下代码展示了一个密码认证库的实现,包含 Check() 和 New() 两个函数,分别用于验证密码和生成新的盐值及哈希值。
package main
import (
"code.google.com/p/go.crypto/scrypt"
"crypto/hmac"
"crypto/rand"
"crypto/sha256"
"crypto/subtle"
"errors"
"fmt"
"io"
)
// 常量定义
const (
KEYLENGTH = 32
N = 16384
R = 8
P = 1
)
// hash 函数:使用 scrypt 进行密钥扩展,然后使用 HMAC 生成哈希值
func hash(hmk, pw, s []byte) (h []byte, err error) {
sch, err := scrypt.Key(pw, s, N, R, P, KEYLENGTH)
if err != nil {
return nil, err
}
hmh := hmac.New(sha256.New, hmk)
hmh.Write(sch)
h = hmh.Sum(nil)
hmh.Reset() // 清空 HMAC,可选
return h, nil
}
// Check 函数:验证密码是否正确
func Check(hmk, h, pw, s []byte) (chk bool, err error) {
fmt.Printf("Hash: %x\nHMAC: %x\nSalt: %x\nPass: %x\n", h, hmk, s, []byte(pw))
hchk, err := hash(hmk, pw, s)
if err != nil {
return false, err
}
fmt.Printf("Hchk: %x\n", hchk)
if subtle.ConstantTimeCompare(h, hchk) != 1 {
return false, errors.New("Error: Hash verification failed")
}
return true, nil
}
// New 函数:生成新的盐值和哈希值
func New(hmk, pw []byte) (h, s []byte, err error) {
s = make([]byte, KEYLENGTH)
_, err = io.ReadFull(rand.Reader, s)
if err != nil {
return nil, nil, err
}
h, err = hash(pw, hmk, s)
if err != nil {
return nil, nil, err
}
fmt.Printf("Hash: %x\nSalt: %x\nPass: %x\n", h, s, []byte(pw))
return h, s, nil
}
func main() {
// 已知的有效值
pass := "pleaseletmein"
hash := []byte{
0x6f, 0x38, 0x7b, 0x9c, 0xe3, 0x9d, 0x9, 0xff,
0x6b, 0x1c, 0xc, 0xb5, 0x1, 0x67, 0x1d, 0x11,
0x8f, 0x72, 0x78, 0x85, 0xca, 0x6, 0x50, 0xd0,
0xe6, 0x8b, 0x12, 0x9c, 0x9d, 0xf4, 0xcb, 0x29,
}
salt := []byte{
0x77, 0xd6, 0x57, 0x62, 0x38, 0x65, 0x7b, 0x20,
0x3b, 0x19, 0xca, 0x42, 0xc1, 0x8a, 0x4, 0x97,
0x48, 0x44, 0xe3, 0x7, 0x4a, 0xe8, 0xdf, 0xdf,
0xfa, 0x3f, 0xed, 0xe2, 0x14, 0x42, 0xfc, 0xd0,
}
hmac := []byte{
0x70, 0x23, 0xbd, 0xcb, 0x3a, 0xfd, 0x73, 0x48,
0x46, 0x1c, 0x6, 0xcd, 0x81, 0xfd, 0x38, 0xeb,
0xfd, 0xa8, 0xfb, 0xba, 0x90, 0x4f, 0x8e, 0x3e,
0xa9, 0xb5, 0x43, 0xf6, 0x54, 0x5d, 0xa1, 0xf2,
}
// 验证已知值,成功
fmt.Println("Checking known values...")
chk, err := Check(hmac, hash, []byte(pass), salt)
if err != nil {
fmt.Printf("%s\n", err)
}
fmt.Printf("%t\n", chk)
fmt.Println()
// 使用已知的 HMAC 密钥和密码创建新的哈希值和盐值
fmt.Println("Creating new hash and salt values...")
h, s, err := New(hmac, []byte(pass))
if err != nil {
fmt.Printf("%s\n", err)
}
// 验证新值,失败!
fmt.Println("Checking new hash and salt values...")
chk, err = Check(hmac, h, []byte(pass), s)
if err != nil {
fmt.Printf("%s\n", err)
}
fmt.Printf("%t\n", chk)
}运行以上代码,会发现使用已知值验证密码时成功,但使用新生成的哈希值和盐值验证密码时失败。这是因为 New() 函数中调用 hash() 函数时,参数顺序错误。
解决方案
Check() 函数中 hash() 函数的调用方式是正确的:
hchk, err := hash(hmk, pw, s)
而在 New() 函数中,hash() 函数的调用方式是错误的:
h, err = hash(pw, hmk, s)
正确的调用方式应该是:
h, err = hash(hmk, pw, s)
修改后的 New() 函数如下:
// New 函数:生成新的盐值和哈希值
func New(hmk, pw []byte) (h, s []byte, err error) {
s = make([]byte, KEYLENGTH)
_, err = io.ReadFull(rand.Reader, s)
if err != nil {
return nil, nil, err
}
h, err = hash(hmk, pw, s) // 修改此处
if err != nil {
return nil, nil, err
}
fmt.Printf("Hash: %x\nSalt: %x\nPass: %x\n", h, s, []byte(pw))
return h, s, nil
}总结与注意事项
- 仔细检查函数参数顺序: 在调用参数类型相同的函数时,务必仔细检查参数顺序,避免出现类似错误。
- 使用类型系统: 可以考虑使用更严格的类型系统,例如定义结构体来表示 HMAC 密钥、密码和盐值,以避免参数顺序错误。
- 编写单元测试: 编写充分的单元测试是发现此类错误的有效方法。在修改代码后,务必运行单元测试,确保代码的正确性。
- 代码版本控制: 使用 Git 等版本控制工具,可以方便地回溯代码,查找错误原因。
- HMAC Key 的安全性: HMAC Key 必须保密,否则攻击者可以伪造哈希值,绕过密码验证。
通过以上步骤,可以有效地排查和解决密码认证库中 crypto 包多次调用返回不同结果的问题,确保密码认证的安全性。在实际开发中,应重视代码质量,编写清晰、易懂的代码,并进行充分的测试,以避免出现类似错误。
文中关于的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《Gocrypto多次调用结果不一致解决方法》文章吧,也可关注golang学习网公众号了解相关技术文章。
Python协程怎么用?async/await详解
- 上一篇
- Python协程怎么用?async/await详解
- 下一篇
- call、apply、bind区别及使用场景详解
查看更多
最新文章
-
- Golang · Go教程 | 1小时前 |
- Golang多协程下载实现教程
- 218浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Go语言格式化时间字符串的正确方法
- 155浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Go并发如何实现有序执行
- 308浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Golang配置BPF环境,libbpf与ebpf教程
- 409浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Golang嵌套函数与组合应用技巧
- 273浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Golang微服务鉴权认证方案解析
- 261浏览 收藏
-
- Golang · Go教程 | 1小时前 |
- Golang环境统一方案与开发规范
- 314浏览 收藏
-
- Golang · Go教程 | 2小时前 |
- GolangRPC客户端错误处理技巧
- 137浏览 收藏
-
- Golang · Go教程 | 2小时前 | golang 外观模式
- Golang外观模式简化子系统操作
- 374浏览 收藏
-
- Golang · Go教程 | 2小时前 |
- GolangJSON解析与序列化教程
- 227浏览 收藏
-
- Golang · Go教程 | 2小时前 |
- Golang反射适合新手吗?反射学习建议
- 344浏览 收藏
-
- Golang · Go教程 | 2小时前 |
- Golang策略加模板方法实现流程配置
- 290浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
查看更多
AI推荐
-
- ChatExcel酷表
- ChatExcel酷表是由北京大学团队打造的Excel聊天机器人,用自然语言操控表格,简化数据处理,告别繁琐操作,提升工作效率!适用于学生、上班族及政府人员。
- 3641次使用
-
- Any绘本
- 探索Any绘本(anypicturebook.com/zh),一款开源免费的AI绘本创作工具,基于Google Gemini与Flux AI模型,让您轻松创作个性化绘本。适用于家庭、教育、创作等多种场景,零门槛,高自由度,技术透明,本地可控。
- 3902次使用
-
- 可赞AI
- 可赞AI,AI驱动的办公可视化智能工具,助您轻松实现文本与可视化元素高效转化。无论是智能文档生成、多格式文本解析,还是一键生成专业图表、脑图、知识卡片,可赞AI都能让信息处理更清晰高效。覆盖数据汇报、会议纪要、内容营销等全场景,大幅提升办公效率,降低专业门槛,是您提升工作效率的得力助手。
- 3847次使用
-
- 星月写作
- 星月写作是国内首款聚焦中文网络小说创作的AI辅助工具,解决网文作者从构思到变现的全流程痛点。AI扫榜、专属模板、全链路适配,助力新人快速上手,资深作者效率倍增。
- 5016次使用
-
- MagicLight
- MagicLight.ai是全球首款叙事驱动型AI动画视频创作平台,专注于解决从故事想法到完整动画的全流程痛点。它通过自研AI模型,保障角色、风格、场景高度一致性,让零动画经验者也能高效产出专业级叙事内容。广泛适用于独立创作者、动画工作室、教育机构及企业营销,助您轻松实现创意落地与商业化。
- 4219次使用
查看更多
相关文章
-
- Golangmap实践及实现原理解析
- 2022-12-28 505浏览
-
- go和golang的区别解析:帮你选择合适的编程语言
- 2023-12-29 503浏览
-
- 试了下Golang实现try catch的方法
- 2022-12-27 502浏览
-
- 如何在go语言中实现高并发的服务器架构
- 2023-08-27 502浏览
-
- 提升工作效率的Go语言项目开发经验分享
- 2023-11-03 502浏览
