2010-03-10 64 views
0

以明文形式發送用戶名和密碼,但通過HTTPS;然後在服務器散列(salt + password)上並將其與數據庫中的散列進行比較。 (鹽是每個用戶)處理Web應用程序的身份驗證

Doin'是嗎? :)

乾杯

PS:我使用Ruby /西納特拉,通過lighttpd的會服,我想。

+0

很多其他人做的事......順便說一下......發送用戶名+密碼**必須通過HTTPS POST而不是GET來完成。 – 2010-03-10 15:11:25

回答

0

這確實取決於您的威脅建模。 HTTPS很容易出現中間人攻擊,所以如果Phishing預計會成爲威脅 - 那麼您最好改進認證協議。

相關問題