http bcrypt发送用户名和密码
通过http post发送bcrypt加密的用户名和密码安全吗?基本上,我只想为我的朋友设置一个服务器,使用加密的用户名和密码,这样他们就可以访问我服务器上的内容。这就像在没有SSL/TLS安全网的情况下以明文进行通信一样危险。没有多少好处 如果您关心安全性,请确保所有用户名和密码都使用SSL/TLS等通用标准通过网络加密。最近这种方法中存在许多漏洞(例如OpenSSL),因此值得研究建立安全通信通道的方法。是web应用程序安全策略的重要资源 Bcrypt不是用于加密通信的,但它是一个加密散列函数,特别适合于密码散列http bcrypt发送用户名和密码,http,post,encryption,bcrypt,Http,Post,Encryption,Bcrypt,通过http post发送bcrypt加密的用户名和密码安全吗?基本上,我只想为我的朋友设置一个服务器,使用加密的用户名和密码,这样他们就可以访问我服务器上的内容。这就像在没有SSL/TLS安全网的情况下以明文进行通信一样危险。没有多少好处 如果您关心安全性,请确保所有用户名和密码都使用SSL/TLS等通用标准通过网络加密。最近这种方法中存在许多漏洞(例如OpenSSL),因此值得研究建立安全通信通道的方法。是web应用程序安全策略的重要资源 Bcrypt不是用于加密通信的,但它是一个加密散列函
在决定是否接受或拒绝登录尝试时,服务器需要知道什么?它必须决定客户端提供的用户名和密码是否正确。有趣的是,您可以通过存储一个难以反转的密码派生项而不是密码本身来实现这一点。好处是什么?如果有人访问了您的密码数据库,您用户的密码应该仍然是安全的。这并不是说你应该发布你的密码数据库,但最好把所有事情都设计成可能发生的样子。密码和用户名应该以明文形式发送到服务器,并通过bcryptTo进行检查。除了Didar_Uranov的评论之外,你可以使用SSL/TLS对网络流量进行加密。使用这种方法,您不必实现客户端加密。但是要知道,这种安全性取决于对SSL/TLS实现、证书颁发机构和证书维护者的信任。像bcrypt这样的密码哈希算法解决了另一个问题。如果您存储用户密码的加密散列(例如bcrypt)而不是密码本身,则获得密码数据库访问权限以发现实际用户密码的攻击者将面临更大的挑战。