Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我目前有一个非常简单的基于 PHP 的登录系统,它适用于 android、iOS 和 web,但我想使用一些更安全的东西。我当前的设置只是传递用户名和 md5 格式的密码来对我的数据库进行身份验证。
是否有人们推荐使用的框架。我听说过使用 PHP 的 oAuth 和 HMAC,但我不确定这些对于我需要的东西是否过大。
有什么想法吗?
对于初学者来说,MD5 不再被认为是安全的。使用现代硬件暴力破解太容易了。
其次,如果您通过网络发送 MD5 并且这就是您在数据库中拥有的内容,那么您实际上是在使用密码的 MD5 作为密码。这意味着您正在通过网络发送未加密的密码。想想看——攻击者只需要捕获 MD5 并将其发回,如果他们想闯入——你并没有从中获得任何实际的安全性。
只需通过 SSL 发送纯文本用户名和密码。将其与合并了密钥的服务器端安全哈希(如今,bcrypt 被认为是要走的路)进行比较。如果您的数据库受到损害,这将限制风险。