1

こんにちは私はこれを間違った方法で行った可能性があると思います。パスワードをハッシュ/ソルトする方法を誰かが説明するのを手伝ってもらえますか。クライアントまたはWebサービスから実行しますか?

パスワードデータメンバーを持つデータコントラクトがあります。私のサービスでは、保存する前にパスワードのハッシュ/ソルトを作成するためにこれを行います。

  So here is the process in which I was thinking.

Rest Service has https for secure connection
User creates account (along with password)
//to stop packet sniffing when user creates account https is used during POST so no one can see the password? 
web service then creates a hash of the password to store it
//so if anyone did get access to the service/database they couldnt make much use of the data in terms of breaching accounts
Then some means to authenticate that user there after

これは正しいです?

4

1 に答える 1

2

正しい方向に進んでいるようですね。攻撃者はそのコードにアクセスできるため、salt値とともにハッシュがクライアント側で発生することはありません。そしてhttpsは確かに接続を保護し、他の人がデータを読み取ることを禁止します。

認証中も同じことを行います。ユーザーがhttps経由で入力したパスワードを取得し、その値をハッシュ/ソルトしてから、結果のハッシュをデータベース内の値と比較します。Studentもちろん、オブジェクトをクライアントに返す場合は、どちらの値も含まれていてはなりません。

Passwordのプロパティを再利用しない方が賢明かもしれませんStudent。これは、プレーンパスワードが含まれているか、ハッシュ値が含まれているかがわからないためです。

于 2012-04-22T06:12:02.920 に答える