当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 康盛UCenter系统密码算法规则和生成方法

建站经验
我骄傲我的站 关于我的纹身网站
大学生网上卖菜 为你解决开门七件事
做电子商务 选择好的虚拟主机是关键
惨痛教训站长足戒 给建站初期的各位站长
做网站需要的是坚持和不断学习的精神
网站发帖宣传应该注意哪些地方
新手做论坛,要用好你的每一分钱
草根站长每天需要做的事情 今天你做了吗
从站长力量网的成功看网站功能的创新重要性
设计能力决定权力
坚持、勤思、善学 建站路程从失败走向成功
分类信息网站未来命运!
关于快速提升新站PR值的方法见解
真正学会做网站的时候 你就成了情场高手
网站容易被百度拔毛的几点情况及预防建议
如何让SupeSite7.0首页显示全部的频道分类
我建站被骗经历和一点经验
软文使网站从PR1提升到PR3 谈软文的好处
踏踏实实做站 放弃网赚成富翁的幻想
教训:垃圾服务器差点让我的网站毁于一旦

建站经验 中的 康盛UCenter系统密码算法规则和生成方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 138 ::
收藏到网摘: n/a

康盛的系列产品,包括Discuz、UCHome、Supesite都集成了同一个用户系统——UCenter,用户登录的密码也保存在UCenter中,对于其他系统集成或导出数据到UCenter系统,通常会遇到密码生成的问题,这里就讨论一下UCenter的用户密码算法规则和生成方法。

密码通常使用MD5对用户密码HASH后保存在数据库中的方法,如果黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,如果这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很容易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。如果可能的salt值的数目足够大的话,它实际上就消除了对常用口令采用的字典式攻击,因为黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。

UCenter的创始人密码是保存在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保存的就是密码,而UC_FOUNDERSALT保存的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次MD5,产生的HASH数值保存在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。

UCenter的用户信息是保存在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保存在password字段中。

因此,如果进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,如果原有系统使用的是md5(password)这样的算法保存密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很容易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。

不过,如果原有系统使用的是md5(password+salt)的方式保存的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用md5(md5(password)+salt)的方式保存密码,这样才能方便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的方法。

转载自月光博客