0
我在理解如何保护REST API方面存在一些问题。 当客户注册时,密码被散列并通过HTTPS发送到服务器。 然后,服务器存储哈希(密码+ privatesalt)。使用签名保护REST API
当客户端使用休息服务时,他使用自己的密码创建了请求和签名HMAC-SHA1(如here)。 服务器端,如何在数据库中对密码进行散列腌制时如何签名与客户端签名进行比较的请求?
我知道数据在网上显示清楚,但我只想验证用户。
我在理解如何保护REST API方面存在一些问题。 当客户注册时,密码被散列并通过HTTPS发送到服务器。 然后,服务器存储哈希(密码+ privatesalt)。使用签名保护REST API
当客户端使用休息服务时,他使用自己的密码创建了请求和签名HMAC-SHA1(如here)。 服务器端,如何在数据库中对密码进行散列腌制时如何签名与客户端签名进行比较的请求?
我知道数据在网上显示清楚,但我只想验证用户。
你说得对。如果密码被存储在服务器端的盐渍散列&中,则无法验证在请求上计算的HMAC:MAC需要客户端和服务器之间的共享密钥。
有些解决方案可能是: