0

我有一个需要登录的系统,但我为谁构建它是要求在登录期间传输密码非常安全(即使使用 SSL)。所以我使用摘要访问身份验证的变体来传输登录请求。我现在遇到的唯一问题是如何将密码存储在数据库中(最好是在安全的加盐散列中),以便它们可以与摘要请求一起使用,并且密码在任何时候都不是非散列格式,除了在客户端浏览器几秒钟。

那么,简而言之,我怎样才能安全地存储密码但允许摘要(与数据库的盐不同且不断变化的随机数)进行身份验证?

4

2 回答 2

1

据我了解,这种机制发送如下内容:

hash(nonce + hash(password + salt))

所以在服务器上,你只需要存储hash(password + salt)salt.

于 2012-07-15T14:06:23.783 回答
0

你可能想看看这个Perl 模块的源代码;它管理 *nix 帐户。

于 2012-07-15T14:17:21.313 回答