一个安全的注册登录功能是怎么做的,以前自己写项目就是明文传输用户名和密码,然后再计算 md5,再和数据库的 md5 比较。
想请教一个比较正规安全的注册登录流程是怎么做的?
想请教一个比较正规安全的注册登录流程是怎么做的?
推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
This topic created in 2089 days ago, the information mentioned may be changed or developed.
 |
1
HAWCat Sep 20, 2020 via Android
先查查 OAuth2 和 JWT
|
 |
2
Rxianbei Sep 20, 2020 via Android
一般的注册功能就是你那么写的,最多传输层加个 https
|
 |
3
lhx2008 Sep 20, 2020
https+明文没问题,md5 安全性比较差,换个好点的算法就可以
|
 |
4
pastgift Sep 20, 2020 via iPhone
就是这么写的
另外 https 要有,md5 可以换 sha1 之类的 另外哈希前要加盐,类似 sha1(id+密码) |
 |
5
heiheidewo Sep 20, 2020
先在前端 hash 后,再通过 https 传到后台比较好吧
|
 |
6
rogwan Sep 20, 2020 via iPhone
用框架,不要自己手撸。框架的密码哈希安全性经过无数人验证过,比自己强撸的漏洞少的多。
|
 |
7
chihiro2014 Sep 20, 2020
Spring Security 的 Bcrypt 不挺现成的么
|
 |
8
Tloudalo Sep 20, 2020
使用慢哈希函数如 PBKDF2 、bcrypt 等来存储密码
另外,owasp 大法好 Password: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html Authentication: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html |
 |
9
abc612008 Sep 20, 2020
2020 年了怎么还用人用 md5,sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码,指不定哪个就明文或者 md5 。
正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。 |
Select Language