セキュリティの観点から言えば、ユーザーのパスワードはデータベースに保存される前に暗号化される(復号化できない)のが一般的ですが、パスワードを直接平文で保存するほど愚かな企業はないと思います。
通常、パスワード暗号化を実装するには、MD5 署名などのさまざまな方法があります。MD5 アルゴリズムは不可逆ですが、MD5 を使用するたびに生成される文字列は固定されているため、ブルート フォース クラッキングの余地が残されています。
Bcrypt アルゴリズムを使用して暗号化すると、毎回生成される文字列が異なり、この方法で生成された暗号文を解読することは基本的に不可能です。Java 言語のフレームワークは、Bcrypt 暗号化を実装するためにspring-security
組み込まれていますBCryptPasswordEncoder
。もちろん、Go はgolang.org/x/crypto/bcrypt
Bcrypt 暗号化を実装するためのパッケージも提供します。
以下は、平文と暗号文が一致するかどうかを検証するために Bcrypt 暗号化を実装する Go の具体的な例です。
package main
import (
"fmt"
"golang.org/x/crypto/bcrypt"
)
func HashPassword(password string) (string, error) {
bytes, err := bcrypt.GenerateFromPassword([]byte(password), 14)
return string(bytes), err
}
func CheckPasswordHash(password, hash string) bool {
err := bcrypt.CompareHashAndPassword([]byte(hash), []byte(password))
return err == nil
}
func main() {
password := "secret"
hash, _ := HashPassword(password) // ignore error for the sake of simplicity
fmt.Println("Password:", password)
fmt.Println("Hash: ", hash)
match := CheckPasswordHash(password, hash)
fmt.Println("Match: ", match)
}