Password Formats
关于 Apache 生成和理解的密码加密格式的说明。
Basic Authentication
Apache 可以识别基本身份验证密码的五种格式。请注意,并非所有格式都可在每个平台上使用:
bcrypt
- “ $ 2y $”是 crypt_blowfish 算法的结果。有关算法的详细信息,请参见 APR 源文件crypt_blowfish.c。
MD5
- “ $ apr1 $”是特定于 Apache 的算法的结果,该算法使用对 32 位随机盐和密码的各种组合进行迭代(1000 倍)的 MD5 摘要。有关算法的详细信息,请参见 APR 源文件apr_md5.c。
SHA1
- “{SHA}”密码的 Base64 编码的 SHA-1 摘要。不安全
CRYPT
- 仅限于 Unix。将传统的 Unix
crypt(3)函数与随机生成的 32 位盐(仅使用 12 位)和密码的前 8 个字符一起使用。不安全
- 仅限于 Unix。将传统的 Unix
纯文本(即未加密)
- 仅 Windows 和 Netware。不安全
用 htpasswd 生成值
bcrypt
$ htpasswd -nbB myName myPassword myName:$2y$05$c4WoMPo3SXsafkva.HHa6uXQZWr7oboPiC2bT/r7q1BB8I2s0BRqC
MD5
$ htpasswd -nbm myName myPassword myName:$apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
SHA1
$ htpasswd -nbs myName myPassword myName:{SHA}VBPuJHI7uixaa6LQGWx4s+5GKNE=
CRYPT
$ htpasswd -nbd myName myPassword myName:rqXexS6ZhobKA
使用 OpenSSL 命令行程序生成 CRYPT 和 MD5 值
OpenSSL 知道特定于 Apache 的 MD5 算法。
MD5
$ openssl passwd -apr1 myPassword $apr1$qHDFfhPC$nITSVHgYbDAK1Y0acGRnY0
CRYPT
openssl passwd -crypt myPassword qQ5vTYO3c8dsU
使用 OpenSSL 命令行程序验证 CRYPT 或 MD5 密码
CRYPT 密码的盐是前两个字符(转换为二进制值)。要针对rqXexS6ZhobKA验证myPassword
CRYPT
$ openssl passwd -crypt -salt rq myPassword Warning: truncating password to 8 characters rqXexS6ZhobKA
请注意,使用myPasswo而不是myPassword将产生相同的结果,因为仅考虑了 CRYPT 密码的前 8 个字符。
MD5 密码的盐值介于$apr1$和以下$之间(作为 Base64 编码的二进制值-最多 8 个字符)。验证myPassword与$apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
MD5
$ openssl passwd -apr1 -salt r31..... myPassword $apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
mod_dbd 的数据库密码字段
SHA1 变体可能是 DBD 身份验证最有用的格式。由于 SHA1 和 Base64 功能是普遍可用的,因此其他软件可以使用 Apache 基本身份验证可以使用的加密密码来填充数据库。
要创建各种语言的 Apache SHA1 变体基本身份验证密码:
PHP
'{SHA}' . base64_encode(sha1($password, TRUE))
Java
"{SHA}" + new sun.misc.BASE64Encoder().encode(java.security.MessageDigest.getInstance("SHA1").digest(password.getBytes()))
ColdFusion
"{SHA}" & ToBase64(BinaryDecode(Hash(password, "SHA1"), "Hex"))
Ruby
require 'digest/sha1' require 'base64' '{SHA}' + Base64.encode64(Digest::SHA1.digest(password))
C 或 C
Use the APR function: apr_sha1_base64
Python
import base64 import hashlib "{SHA}" + format(base64.b64encode(hashlib.sha1(password).digest()))
PostgreSQL(安装了 contrib/pgcrypto 函数)
'{SHA}'||encode(digest(password,'sha1'),'base64')
Digest Authentication
Apache 会识别一种摘要身份验证密码格式-字符串user:realm:password的 MD5 哈希为 32 个字符的十六进制数字字符串。 realm是 httpd.conf 中AuthName指令的 Authorization Realm 参数。
mod_dbd 的数据库密码字段
由于 MD5 功能是普遍可用的,因此其他软件可以使用 Apache 摘要认证可用的加密密码来填充数据库。
要创建各种语言的 Apache 摘要身份验证密码:
PHP
md5($user . ':' . $realm . ':' .$password)
Java
byte b[] = java.security.MessageDigest.getInstance("MD5").digest( (user + ":" + realm + ":" + password ).getBytes()); java.math.BigInteger bi = new java.math.BigInteger(1, b); String s = bi.toString(16); while (s.length() < 32) s = "0" + s; // String s is the encrypted password
ColdFusion
LCase(Hash( (user & ":" & realm & ":" & password) , "MD5"))
Ruby
require 'digest/md5' Digest::MD5.hexdigest(user + ':' + realm + ':' + password)
PostgreSQL(安装了 contrib/pgcrypto 函数)
encode(digest( user || ':' || realm || ':' || password , 'md5'), 'hex')