1

Bottle仅提供基本身份验证,这似乎还可以,因为摘要身份验证不是非加超。但究竟是什么?我曾想过:

  • 在发出请求之前使用 BCrypt 加密用户名和密码

但这是否有意义,还是我应该放弃这个想法,只使用 HTTPS (SSL) 建立一个安全的 HTTP 连接并完成它?

4

1 回答 1

4

何苦?

在客户端散列密码提供了一点额外的好处,即密码本身不会以明文形式发送(因此不会泄露),

但是,它并不能阻止窃听者伪装成他获得密码的用户。

您应该只使用 HTTPS。

这是最可靠(也是最简单!)的解决方案。

此外,您还将获得 HTTPS 的额外好处:

  • 不会窃听您的任何通信(不仅仅是登录!)
  • 不可篡改
  • 服务器身份验证它的视觉“绿色锁”对应物(您的用户可能会喜欢)。

作为安全和加密的一般经验法则,您应该始终遵守标准。

于 2012-12-30T01:27:51.700 回答