Javascript 客户端散列的物流问题
我在客户端找到了很多关于散列的帖子,但是没有一篇能够完全回答我的问题 我想在客户端散列用户密码,这样我就不必通过web发送纯文本密码,但我有一个问题,那就是在使用salt时如何成功地发送密码 验证密码的正常过程是。。 1) 用户输入用户名和密码 2) 根据用户名恢复盐 3) 散列密码和盐 4) 根据数据库检查哈希 如果这一切都发生在服务器上,这没什么大不了的,但是如果您在客户端,情况就变得复杂了。2) 将必须是对服务器的回拨,同时在某处维护密码(不发布密码),因此。。AJAX这是最好的方法还是我错过了什么Javascript 客户端散列的物流问题,javascript,hash,client-side,Javascript,Hash,Client Side,我在客户端找到了很多关于散列的帖子,但是没有一篇能够完全回答我的问题 我想在客户端散列用户密码,这样我就不必通过web发送纯文本密码,但我有一个问题,那就是在使用salt时如何成功地发送密码 验证密码的正常过程是。。 1) 用户输入用户名和密码 2) 根据用户名恢复盐 3) 散列密码和盐 4) 根据数据库检查哈希 如果这一切都发生在服务器上,这没什么大不了的,但是如果您在客户端,情况就变得复杂了。2) 将必须是对服务器的回拨,同时在某处维护密码(不发布密码),因此。。AJAX这是最好的方法还是我
提前谢谢 通过未加密的连接发送哈希密码并不比发送未加密的纯文本密码好多少。坏人可以截获散列的密码,并在以后将其作为凭证重放
您想要的是通过SSL发送真实密码。通过未加密的连接发送哈希密码并不比发送未加密的纯文本密码好多少。坏人可以截获散列的密码,并在以后将其作为凭证重放
您想要的是通过SSL发送真实密码。作为跨不安全通道发送未加密哈希或密码(但仍不如SSL)的更安全的替代方案,您可以查看
如上所述,通过不安全的通道发送散列仍将允许其他人以用户身份登录。作为通过不安全通道发送未加密散列或密码(但仍不如SSL安全)的更安全的替代方案,您可以查看
如上所述,通过不安全的通道发送散列仍然允许其他人以用户身份登录。关于散列密码,这并不完全正确。通常的方法是使用“nonce”来解决它,比如HTTP摘要Auth。关于散列密码,这并不完全正确。通常的方法是使用“nonce”来解决它,比如HTTP摘要Auth。