Protección de contraseñas de usuario en Go en App Engine

Al manejar contraseñas de usuario en aplicaciones Go implementadas en Google App Engine, la seguridad es primordial. La biblioteca bcrypt, si bien es eficaz para el hash de contraseñas, presenta limitaciones debido al uso de syscall. Por este motivo, los desarrolladores pueden buscar métodos alternativos para el hash seguro de contraseñas.

Una opción confiable es aprovechar el paquete golang.org/x/crypto, que proporciona implementaciones nativas de PBKDF2 y bcrypt. Estas implementaciones eliminan la dependencia de syscall, lo que las hace adecuadas para App Engine.

Uso de bcrypt

Para utilizar bcrypt, sigue estos pasos:

1. Install the package:

go get golang.org/x/crypto/bcrypt

2. Example usage:

package main

import (
    "fmt"
    "golang.org/x/crypto/bcrypt"
)

func main() {
    pass := []byte("your password")

    // Generate a hashed password
    ctext, err := bcrypt.GenerateFromPassword(pass, bcrypt.DefaultCost)
    if err != nil {
        // Handle error
    }

    fmt.Println(string(ctext)) // Example output: $2a$10$sylGijT5CIJZ9ViJsxZOS.IB2tOtJ40hf82eFbTwq87iVAOb5GL8e
}

Uso de PBKDF2

Para necesidades de hash más simples, se puede utilizar PBKDF2:

1. Install the package:

go get golang.org/x/crypto/pbkdf2

2. Example usage:

package main

import (
    "fmt"
    "golang.org/x/crypto/pbkdf2"
)

func main() {
    pass := []byte("your password")
    salt := []byte("your salt")

    // Generate a hash
    hash := pbkdf2.Key(pass, salt, 4096, sha256.Size, sha256.New)

    fmt.Printf("%x\n", hash) // Example output: 0x079b8238d3815d31d87d75ff893371ac3cc875f97eca499854655da9554d2555
}