ボトルは基本的な認証のみを提供しますが、ダイジェスト認証は非プラスのウルトラではないため、問題ないようです。しかし、何ですか?私は考えました:
- リクエストを行う前に、BCryptでユーザー名とパスワードを暗号化する
しかし、これは理にかなっているのでしょうか、それともこのアイデアを捨てて、HTTPS(SSL)で安全なHTTP接続を確立し、それで済ませるべきでしょうか?
1939 次
1 に答える
4
なぜわざわざ?
クライアント側でパスワードをハッシュすると、パスワード自体が平文で送信されない (そのため、明らかにされない) という利点が少し追加されます。
ただし、盗聴者がパスワードを取得したユーザーになりすますことを防ぐことはできません。
HTTPS を使用する必要があります。
これは最も信頼できる (そして簡単な!) ソリューションです。
さらに、HTTPS の追加の利点を得ることができます。
- ログインだけでなく、あなたのコミュニケーションを盗聴することはありません!
- 改ざんなし
- サーバー認証は、視覚的な「緑色のロック」に対応します (ユーザーが高く評価する可能性があります)。
セキュリティと暗号化の一般的な経験則として、常に標準に固執する必要があります。
于 2012-12-30T01:27:51.700 に答える