我编写了一个简单的演示 html(启用 SSL)表单来通过它访问一些大学服务。它要求用户首先使用他的大学 ID 登录。
我的问题是,即使是我这个页面的所有者,如何加密登录数据?是否可以 ?以便用户可以放心地使用它。
我编写了一个简单的演示 html(启用 SSL)表单来通过它访问一些大学服务。它要求用户首先使用他的大学 ID 登录。
我的问题是,即使是我这个页面的所有者,如何加密登录数据?是否可以 ?以便用户可以放心地使用它。
您可以使用 HTTP Digest Authentication,它执行质询-响应身份验证并始终发送散列密码。
Digest 的问题在于它的 UI 很丑陋,并且注销由浏览器决定(您无法获得可靠的注销链接)。
或者,您可以在 JavaScript 中实现自己的质询-响应机制,例如http://code.google.com/p/crypto-js/
但这毫无意义,因为用户无法保证您正在执行此操作,并且您将来不会用不安全的脚本替换安全脚本。作为网站所有者(或入侵您网站的人),您可以随时更改脚本并“窃取”密码。
SSL 很好。这是您可以在客户端执行的最好的真正安全性。
您可以确保将密码安全地存储在服务器端 — 使用 bcrypt(而不是md5/sha1)等慢速哈希对其进行哈希处理,并对每个密码使用唯一的盐。