用node重现hustoj项目里的加密验证过程

先看下hustoj源码里用到的用户密码加密函数和验证函数

function pwGen($password,$md5ed=False) 
{
    if (!$md5ed) $password=md5($password);
    $salt = sha1(rand());
    $salt = substr($salt, 0, 4);
    $hash = base64_encode( sha1($password . $salt, true) . $salt ); 
    return $hash; 
}
function pwCheck($password,$saved)
{
    if (isOldPW($saved)){
        $mpw = md5($password);
        if ($mpw==$saved) return True;
        else return False;
    }
    $svd=base64_decode($saved);
    $salt=substr($svd,20);
    $hash = base64_encode( sha1(md5($password) . $salt, true) . $salt );
    if (strcmp($hash,$saved)==0) return True;
    else return False;
}
function isOldPW($password)
{
    for ($i=strlen($password)-1;$i>=0;$i--)
    {
        $c = $password[$i];
        if ('0'<=$c && $c<='9') continue;
        if ('a'<=$c && $c<='f') continue;
        if ('A'<=$c && $c<='F') continue;
        return False;
    }
    return True;
}

满满的黑历史，可以看出最早这个系统居然是明文存密码的，或者是可以漏成筛子的前端加密……
好吧，忽略这些细节，得到这两个函数

function pwGen($password) 
{
    $salt = sha1(rand());
    $salt = substr($salt, 0, 4);
    $hash = base64_encode( sha1($password . $salt, true) . $salt ); 
    return $hash; 
}
function pwCheck($password,$saved)
{
    $svd=base64_decode($saved);
    $salt=substr($svd,20);
    $hash = base64_encode( sha1(md5($password) . $salt, true) . $salt );
    if (strcmp($hash,$saved)==0) return True;
    else return False;
}

随机一个盐，哈希运算两次。
接下来就是把这两个用JavaScrip写一遍就好了……
要是真这么简单就好了……

PHP本质上就是个用来拼接字符串的模板引擎，到处都用字符串直接做运算，这段代码还巧妙的用了这种坑，导致写成JavaScript或其他语言要仔细盯着PHP运算过程神奇的字符编码的变化。踩完所有坑之后，写成了这个样子

const crypto = require('crypto')

const sha1 = (data, encoding) => crypto.createHash('sha1').update(data).digest(encoding)
const md5  = (data, encoding) => crypto.createHash('md5').update(data).digest(encoding)
const rand = ()               => Math.floor(Math.random()*32768)

exports.pwGen = function pwGen(passInput) {
  const passInputMd5 = md5(passInput, 'hex') // :String
  let salt = Buffer.alloc(4)
  Buffer
    .from(sha1(rand().toString(), 'hex')) // :Buffer
    .copy(salt, 0, 0, 4)
  const result = Buffer.concat([
    sha1(passInputMd5 + salt.toString('utf8')), salt
  ]).toString('base64')
  return result
}

exports.pwCheck = function pwCheck(passInput, passSaved) {
  const passInputMd5 = md5(passInput, 'hex') // :String
  let salt = Buffer.alloc(4)
  Buffer
    .from(passSaved, 'base64')
    .copy(salt, 0, 20)
  const result = Buffer.concat([
    sha1(passInputMd5 + salt.toString('utf8')), salt
  ]).toString('base64')
  return result === passSaved
}

直接导出，在控制器里调用。

最后用这个模块写了个加密验证demo 点击访问