当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 康盛UCenter系统密码算法规则和生成方法

建站经验
建站参考:15种网站最差的用户体验
参考:网站制作过程中把握的几点
控制搜索引擎访问和索引你的网站
站长访谈:访中国最大Web开发社群站长—蓝色
1个月行业主关键词到首页SEO实战(Yahoo和Google篇)
总结参考:有利于用户体验和SEO的TAG写法
大型社区网站提高用户体验的10个细节
针对CMO来说,互联网内容的十宗罪
探讨行业网站应该具备的一些基本指标
WordPress对搜索引擎更为友好的技巧和方法
网站编辑:怎样将seo融入到编辑的日常工作中?
复杂网站重新设计的简单方法
详细讲解网站制作中关于链接的制作方法
认识网络营销,中小企业开展网络营销的建议
SEO搜索引擎优化给程序留下什么?
影响网站的搜索引擎排名的几个因素
全世界的专家给网站开发人员的一些建议
浅谈商业网站和个人网站的区别
个人站长:网商和博客是中小站长头上的两把利刃
搜索优化:使用Google工具条有助于网站收录

建站经验 中的 康盛UCenter系统密码算法规则和生成方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 35 ::
收藏到网摘: n/a

康盛的系列产品,包括Discuz、UCHome、Supesite都集成了同一个用户系统——UCenter,用户登录的密码也保存在UCenter中,对于其他系统集成或导出数据到UCenter系统,通常会遇到密码生成的问题,这里就讨论一下UCenter的用户密码算法规则和生成方法。

密码通常使用MD5对用户密码HASH后保存在数据库中的方法,如果黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,如果这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很容易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。如果可能的salt值的数目足够大的话,它实际上就消除了对常用口令采用的字典式攻击,因为黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。

UCenter的创始人密码是保存在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保存的就是密码,而UC_FOUNDERSALT保存的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次MD5,产生的HASH数值保存在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。

UCenter的用户信息是保存在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保存在password字段中。

因此,如果进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,如果原有系统使用的是md5(password)这样的算法保存密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很容易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。

不过,如果原有系统使用的是md5(password+salt)的方式保存的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用md5(md5(password)+salt)的方式保存密码,这样才能方便的实现和UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的方法。

转载自月光博客