担心系统的 secret key 可能泄露，想要重新更换一个 key，那以前用这个 key 哈希过的用户密码、字符串怎么更新？

2018-01-02 12:19:46 +08:00

miniyao

有一个古老的 secret key 好多轮的版本迭代一直在用，人员进进出出也很多批了，这个盐 key 感觉上应该是在裸奔了，想要更换一个新的 secret key，系统里面现存的用户密码都是根据就的这个 key 生成的，增么换成新的 key 值重新更新下？

1297 次点击

所在节点

问与答

7 条回复

wwqgtxx

2018-01-02 12:30:36 +08:00

在用户登录的时候逐步替换，数据库加一个字段标识一下是新盐还是旧盐

SoloCompany

2018-01-02 12:47:11 +08:00

salt 不是 secret，你自己弄混了

msg7086

2018-01-02 12:48:23 +08:00

salt 应该随密码生成…… secret key 一般用在 cookie 这样无关紧要的东西上吧。

miniyao

2018-01-02 13:03:58 +08:00

@SoloCompany
@msg7086

因为是代码是这样写的😄
password= PasswordHash(salt=os.environ['SECRET_KEY'])

wwqgtxx

2018-01-02 13:23:21 +08:00

为啥不
from werkzeug.security import check_password_hash, generate_password_hash
呢，然后密码用 generate_password_hash(password, method='pbkdf2:sha512')处理就不用自己考虑盐的问题了

miniyao

2018-01-02 13:47:25 +08:00

@wwqgtxx 谢谢，新写的都改过方案了，老的历史问题遗留下来的

msg7086

2018-01-02 15:09:47 +08:00

最好应该是像 1 楼说的，做个原地替换，遇到老密码 hash 用户登录的，自动重写成正确的密码 hash。
salt 也就不用改了，就这么放着好了，这么写的代码本来就已经不可能更新了。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419342

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.