问题标签 [srp-protocol]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 注册用户时,安全远程密码在后端应用密码策略
当用户需要注册时,需要在服务器端应用一套密码策略,而不仅仅是在客户端;但是,我们无法访问服务器中的密码。使用 SRP 时,是否有任何可能的方法在后端应用密码策略?
例子:
- 至少包含 7 个符号
- 需要数字和字母的组合
openssl - OpenSSL 可以在同一个 SSL 上下文中处理多个身份验证机制吗?
我们正在尝试支持使用 TLS1.2 支持 PSK 和 SRP 身份验证机制的服务器。但是,当我们尝试在同一上下文中为两者运行回调时,只会检测到 PSK 回调:
SSL_CTX_set_psk_server_callback(m_ctx, psk_out_of_bound_serv_cb);
SSL_CTX_set_srp_username_callback(m_ctx, srp_server_param_cb);
如果您只设置一个回调或另一个,SRP 和 PSK 目前在我们的代码中工作。我尝试先注册 SRP,但这样做并没有改变唯一的 PSK 正在工作的事实。因此,另一种方法是在 SSL 上下文中单独设置这些。我还确认 SRP 和 PSK 密码套件在设置时组合起来不是问题。
以下是我们拥有的测试场景的快速摘要:
- 仅具有 SRP 回调的 SRP 客户端 - 有效
- 仅具有 PSK 回调的 PSK 客户端 - 有效
- 带有 SRP+PSK 回调的 SRP 客户端 - 不起作用
- 具有 SRP+PSK 回调的 PSK 客户端 - 有效
不同机制的多个回调会在同一个 SSL 上下文上同时工作吗?
amazon-cognito - 为什么在启用 SRP 时 Amplify for AWS Cognito 会以纯文本形式发送新密码?
我们正在使用 Amplify 和 AWS Cognito,使用 SRP。根据我们对 SRP 的理解,密码不应通过网络以纯文本形式发送。
当用户需要在登录时更改密码时,我们使用 Auth.completeNewPassword 方法。查看请求,密码清楚地以纯文本形式发送。为什么是这样?