0

这就是我所反对的。

我有一个我正在构建的 iPhone 应用程序,它与我网站上受密码保护的页面进行通信。该应用程序可以很好地通过密码保护,并且可以很好地从页面获得响应。问题是当我尝试从我的应用程序登录到该站点时,它被拒绝了。我相信这是因为我在将密码发送到网站之前在应用程序中使用 Bcrypt 对密码进行哈希处理,然后使用 进行检查password_verify(),这当然需要密码的纯文本,然后是哈希版本,但我给它两个哈希它不接受的同一事物的版本。

我的问题是:是否可以使用password_verify或其他功能比较两个加密密码?如果不是,它是否足够安全(我敢这么说)从应用程序以纯文本形式发送密码?

提前感谢大家!

4

1 回答 1

2

是否可以使用 password_verify 或其他功能比较两个加密密码?

不,password_verify 需要明文密码和以前的哈希形式的密码,其中嵌入的盐作为输入,没有办法解决这个问题。该算法使得您需要再次使用盐来生成相同的哈希,因此您唯一的其他选择是将哈希/盐传输到客户端以在那里重现该算法。但这毫无意义,因为您想在服务器上而不是在不可信的客户端上进行密码确认。

如果不是,它是否足够安全(我敢这么说)从应用程序以纯文本形式发送密码?

当然,只要通信通道是安全的,这意味着您有 SSL 连接。

于 2013-09-30T14:51:54.653 回答