如何验证密码而不发送未加密的密码到服务器
如何验证密码而不发送未加密的密码到服务器
提问于 2019-07-31 15:16:40
我想构建一个登录应用程序,它有一个用于用户名和密码输入的客户机,以及一个服务器,然后服务器接收用户名和密码。
然后服务器应该检查,wheather它收到的密码是否与已经存储的散列匹配。我认为不将未加密的密码(仅以字符串形式)从客户机发送到服务器是明智的,因此我已经在客户端用BCrypt加密了密码。
但是现在服务器端有两种散列,但是BCrypt只提供给的方法,将明文与哈希进行比较,而不是将哈希与哈希进行比较。
我现在应该将明文密码发送到服务器,还是有一种比较两种散列的方法?
谢谢你的帮忙
回答 3
Stack Overflow用户
回答已采纳
发布于 2019-07-31 15:20:55
最简单的方法是使用TLS Security。
Stack Overflow用户
发布于 2019-07-31 15:36:12
“挑战-回应”是你应该谷歌搜索的术语。
原则:
在服务器端,您已经存储了散列(盐渍)密码和salt。
客户端首先发送登录名。
服务器在数据库中查找登录的盐,并将其连同随机字符串(这就是挑战)一起发送给客户端。
客户端现在必须以以下方式计算加密密码:将登录密码与salt连接起来,并对其进行散列。将结果与来自质询的随机字符串连接起来,并对其进行散列。将结果发送到服务器。
服务器现在将散列密码(存储在用户数据库中)与与挑战一起发送的随机字符串连接起来,并计算散列。结果必须与从客户端接收的结果完全相同。
Stack Overflow用户
发布于 2019-07-31 15:30:08
您可以从数据库中获取哈希值,并将其与已发送的值进行比较。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/57294037
复制相关文章
相似问题
腾讯云开发者
