-1

login モジュールと reset-password モジュールには次のメソッドが必要です。

a) 「認証またはログインモジュール」におけるソルト MD5 テクニック

b) 「パスワードのリセット」モジュールでの MD5 ハッシュ技術。

それがどのように機能するか、以下に説明を書きます。

クライアントがログイン ページを要求すると、サーバーは乱数であるソルトを生成し、それをページと共にクライアントに送信する必要があります。クライアントの JavaScript コードは、ユーザーが入力したパスワードの MD5 ハッシュを計算します。次に、salt をハッシュに連結し、MD5 ハッシュを再計算します。この結果はサーバーに送信されます。サーバーは、データベースからパスワードのハッシュを選択し、salt を連結して MD5 ハッシュを計算します。ユーザーが正しいパスワードを入力した場合、これら 2 つのハッシュは一致するはずです。サーバーは 2 つを比較し、一致する場合、ユーザーは認証されます。

同じことを行うすべてのリンクを参照します。

4

1 に答える 1

0

HTTPS を使用しているため、クライアント側でパスワードのハッシュ + ソルト化のすべての問題を経験する必要はありません。HTTPS を使用して、クライアント/サーバー間で転送中のパスワードの機密性を処理できます。

パスワードをサーバーに送信するだけです。サーバーは、パスワードのハッシュとソルトを行い、その値をデータベースに保存されているものと照合します。

ソルティング + ハッシング サーバー側では、BCrypt をお勧めします。

http://en.wikipedia.org/wiki/Bcrypt

これを使用して、保存されているパスワードごとに一意のソルトを生成します。また、ハッシュ アルゴリズム自体は SHA1/MD5 よりもはるかに低速です (SHA1/MD5 は高速化のために作成されたものであり、パスワードを保存する際には有用なプロパティではありません)。

于 2014-08-22T05:47:51.573 に答える