Hash Lighttpd mod auth Bcrypt哈希
我正在制作一个自制的NAS,并正在使用Lighttpd实现下载共享功能。我知道如何使用Apache,但因为我是在一个小型Raspbery Pi上托管Web服务器,所以我觉得Lighttpd会更“轻” 我有一个目录,只能由mod_auth的有效用户访问。 我知道如何使用mod_auth特性:纯文本、十六进制摘要,但我似乎找不到任何关于使用从用户收到的密码验证salted+hash密码的信息。mod_auth模块有一个名为htpasswd的后端模式,但它只使用MD5对密码进行散列,不含任何盐 Bcrypt或任何其他salt是否实现了Lighttpd的mod_auth模块提供的哈希?如果不是,这是否意味着我必须实现自己的用户数据库系统+密码验证?Hash Lighttpd mod auth Bcrypt哈希,hash,bcrypt,lighttpd,.htpasswd,mod-auth,Hash,Bcrypt,Lighttpd,.htpasswd,Mod Auth,我正在制作一个自制的NAS,并正在使用Lighttpd实现下载共享功能。我知道如何使用Apache,但因为我是在一个小型Raspbery Pi上托管Web服务器,所以我觉得Lighttpd会更“轻” 我有一个目录,只能由mod_auth的有效用户访问。 我知道如何使用mod_auth特性:纯文本、十六进制摘要,但我似乎找不到任何关于使用从用户收到的密码验证salted+hash密码的信息。mod_auth模块有一个名为htpasswd的后端模式,但它只使用MD5对密码进行散列,不含任何盐 Bcr
或者我应该在散列之前使用MD5并实现我自己的随机salt吗?(我认为这不是推荐的解决方案。)您是否阅读了lighttpd网站上的文档@gstrauss是的,它有plain、htpasswd、hexdigest、ldap、gssapi、mysql等等。很简单,hexdigest显然不是一个选项。htpasswd似乎只使用MD5(至少在文档中是这样)。我不认为ldap和gssapi是我的选择。也许我可以使用mysql,因为我认为mysql有一个带有随机散列的散列函数。不幸的是,这意味着我还需要在我的raspberry pi中运行一个mysql数据库,它已经不是一个功能强大的设备了。(我没有很好的冷却来防止它因超频而节流。)与Apache类似,lighttpd在htpasswd文件中支持SHA1。但是,如果您不想在RPi上存储实际密码,那么应该使用HTTP摘要身份验证(而不是hexdigest)而不是HTTP基本身份验证。lighttpd支持HTTP摘要身份验证。HTTP摘要身份验证从不通过连接发送用户密码。如果您使用的是TLS(https),则即使使用了HTTP Basic auth,也不会在网络上以明文形式发送用户密码,但密码以明文形式存储在服务器上,因此首选HTTP摘要。根据您实际尝试提供的内容,您可以查看lighttpd mod_secdownload,它可以生成一个可用于下载文件的唯一密钥(在编写其他authn/authz脚本以提供访问密钥之后)@gstrauss这很有趣!谢谢你的建议:)