我有一个需要登录的系统,但我为谁构建它是要求在登录期间传输密码非常安全(即使使用 SSL)。所以我使用摘要访问身份验证的变体来传输登录请求。我现在遇到的唯一问题是如何将密码存储在数据库中(最好是在安全的加盐散列中),以便它们可以与摘要请求一起使用,并且密码在任何时候都不是非散列格式,除了在客户端浏览器几秒钟。
那么,简而言之,我怎样才能安全地存储密码但允许摘要(与数据库的盐不同且不断变化的随机数)进行身份验证?
问问题
143 次
2 回答
1
据我了解,这种机制发送如下内容:
hash(nonce + hash(password + salt))
所以在服务器上,你只需要存储hash(password + salt)和salt.
于 2012-07-15T14:06:23.783 回答
0
你可能想看看这个Perl 模块的源代码;它管理 *nix 帐户。
于 2012-07-15T14:17:21.313 回答