我的问题可能不仅限于条纹键,但可能是一般问题。
我为WP开发了一个Stripe支付插件,并让网站管理员能够在WP仪表板的选项页面中设置她/他的API密钥(公钥和密钥)。
到目前为止,我使用了php的password_hash()函数来加密和保存选项表中的键。
现在好了。当用户访问网站并购买东西时,我如何解密密钥,因为我没有可比较的盐。
我可以在管理仪表板第一次设置她/他的密钥时在数据库中创建一个盐,但加密和解密盐需要另一个盐。
据我所知,所有加密/解密算法都需要一个盐,而且它是合乎逻辑的。但在这种情况下,最好的方法是什么?
以下代码仅供您查看我的代码外观,即使它与我面临的问题没什么关系。
$public_key= password_hash($_POST['pub-key'],PASSWORD_DEFAULT);
$secure_key=password_hash($_POST['sec-key'],PASSWORD_DEFAULT) ;
add_option('pub',$public_key,'','no');
add_option('sec',$secure_key,'','no');
所以我想说我想从我的一个网站页面中的数据库中取回'pub'和'sec'。没有盐我就不能password_verify('SALT',get_option('pub');。
答案 0 :(得分:0)
据我了解,所有加密/解密算法都需要加盐,这是合乎逻辑的。但是在这种情况下,最好的方法是什么?
不,加密/解密需要一个密钥,而不是一个盐。
对密码哈希而言,加盐是很明显的事情。 Hashing and encryption are totally unrelated concepts和密码哈希(password_hash()就是这样做)本身就是蠕虫病毒。
加密是可逆的(如果您具有密钥)。散列总是单向的。密码散列很慢而且很麻烦。
很大程度上没有解决安全凭证管理的一般问题。但是,some designs are robust against common threat models可能值得研究。