0
我正在rails中實現一個API,並且希望使用HTTP摘要授權,因爲它比基本授權更安全。如果我的密碼作爲單向加密散列存儲在數據庫中,如何實現這一點。HTTP摘要驗證單向加密密碼
A
回答
0
老實說?不要打擾。如果您要使用Digest over HTTP,您最好還是使用表單或基本身份驗證。 HTTPS是解決方案。使用摘要仍然是完全不安全的(它使用弱散列,並且不提供針對MitM攻擊的防禦)。
HTTPS並不難,沒有它,你將很難確保你的應用程序。
0
對存儲在服務器上的散列值使用摘要授權的唯一方法是在客戶端上覆制散列算法以將用戶的密碼轉換爲散列,然後基本成爲新密碼(共享密鑰)。
如果您在生成哈希值時使用了鹽,則需要在客戶端上使用相同的salt,這可能很困難。
正如其他人所建議的,請考慮使用HTTPS。然後,您可以將密碼以純文本形式從客戶端發送到服務器,並依靠HTTPS提供端到端的保護。 HTTPS提供加密和認證,這將關閉循環。
相關問題
- 1. MySQL密碼加密驗證
- 2. 數據庫和瀏覽器摘要驗證中的加密密碼
- 3. 在mysql中使用加密存儲密碼的摘要式驗證
- 4. 驗證碼加密
- 5. 要驗證密碼的JavaScript
- 6. HTTP摘要身份驗證
- 7. Authlogic和HTTP摘要驗證
- 8. 驗證grails中的加密密碼
- 9. 在apache2 webserver中更改密碼 - 摘要式身份驗證
- 10. 驗證失敗:密碼摘要不能爲空
- 11. 使用摘要密碼的WSO2is身份驗證SOAP
- 12. 驗證密碼
- 13. 密碼驗證
- 14. 驗證密碼
- 15. 密碼驗證
- 16. 密碼驗證
- 17. 密碼驗證
- 18. 單向密碼加密算法
- 19. 恆定時間密碼摘要使用加密++
- 20. 使用Java庫jasypt摘要加密密碼
- 21. Bcrypt密碼驗證
- 22. php密碼驗證
- 23. jQuery - 驗證密碼
- 24. FOSUserBundle密碼驗證
- 25. 有()驗證密碼 - = _ +
- 26. C密碼驗證?
- 27. Bcrypt驗證密碼
- 28. cakephp密碼驗證
- 29. PHP密碼驗證
- 30. HTML密碼驗證
絕對要做的形式,因爲基本也容易重播攻擊。 –