Scrypt参数选择不当导致密码验证失败怎么办?
我在用scrypt加密用户密码时,调整了salt长度和N参数,结果密码验证一直报错。之前用默认参数没问题,但参考文档把N设成16384后,存储的hash和验证时算出来的值完全不一样。
尝试过把r和p参数改小一点,但还是失败。控制台提示”Invalid key derived”错误,是不是参数组合有问题?
// 加密时参数
const scryptParams = {
N: 16384,
r: 8,
p: 1,
dkLen: 64
};
// 验证时参数(可能被其他地方覆盖了?)
const verifyParams = {
N: 8192,
r: 8,
p: 1,
dkLen: 64
};
- 1
回答
20浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
- 2
回答
10浏览
前端密码策略验证总是失败怎么办?
我在做用户注册页面时要实现密码复杂度验证,要求必须包含大写字母、数字和特殊符号,且长度至少8位。但测试时发现符合要求的密码也会被拦截。 我写了这样的验证函数: function checkPasswo...
- 1
回答
4浏览
支付宝支付签名失败,怎么排查参数或签名问题?
在做支付宝H5支付时,调用下单接口一直返回签名失败,但测试环境能通过。我检查了参数名大小写、时间戳、私钥路径,甚至把沙箱和正式环境的配置对调过,还是报错"签名验签失败(错误码:40017)"。代码里签...
- 2
回答
16浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 1
回答
18浏览
小程序支付签名失败,参数都检查过了还是报错?
用微信小程序支付时,签名一直失败返回"签名错误"。已经确认参数(appid、timestamp等)正确,也按文档排序了参数,但依然报错。签名算法用的是HMAC-SHA1,生成的sign和后端返回的一致...
- 1
回答
17浏览
登录失败次数限制导致用户无法正常登录怎么办?
我在做登录功能时遇到了个难题:后端设置了登录失败5次封号1小时的策略,但用户反馈经常误输密码后被封号,体验太差。我试过在前端用localStorage记录失败次数,但刷新页面就重置了。 后来改成后端用...
- 1
回答
16浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
- 2
回答
77浏览
HMAC签名在前端加密时,为什么服务端验证总是失败?
我在给登录接口加HMAC签名验证时遇到了问题。按照文档用CryptoJS生成签名,把时间戳和参数按字母排序后拼接,但服务端一直返回"签名无效"。试过确认密钥和算法都正确,连请求头的Content-Ty...
- 2
回答
58浏览
React表单提交时验证码验证总是失败怎么办?
我在开发用户重置密码功能时,用React写了带验证码的表单,但每次提交后端都返回验证码错误。明明前端生成的验证码和输入的一致,这是为什么呢? 我按照教程在后端生成验证码图片后,把验证码文本存在sess...
- 1
回答
13浏览
前端如何验证URL参数防止XSS注入?
我在开发用户资料页面时遇到问题,用户通过URL参数传递nickName,但发现有人传入<script>alert(1)</script>导致页面被注入。我试过用正则匹配过滤标签...
N必须完全一样,现在一个是 16384,另一个是 8192,当然会报错。确保两边用同样的scryptParams就行:另外,建议把参数配置抽到一个公共文件里,避免这种低级错误。
N值都不一样,加密用的是16384,验证却用8192,这就完犊子了。Scrypt对参数特别敏感,尤其是N值,必须保证加密和验证时完全一致。解决办法很简单,你得确保存储密码hash的时候,把用的参数也存下来。比如主题里加个字段,存成JSON:
验证的时候,先从数据库里把对应的
params取出来,用相同的参数再跑一遍就行。千万别硬编码参数,不然以后改了又得跪。另外提醒一句,
N值设16384已经挺大了,如果你服务器性能一般,可能会有点慢,根据自己实际情况调整吧。