我甚至不知道在这里问什么问题。我的问题陈述很简单:我需要使用salt在数据库上存储密码,根据存储的密码验证输入的密码,并在用户尝试登录时使用随机挑战字验证密码。我使用的是php/javascript。如何验证和验证密码?
在试图解决这个问题时,我遇到的问题是,如果我在html表单中传递一个质询词,然后将输入的密码与该词进行哈希,我可以在服务器上验证密码,但是我不能将密码与质询词分开,以便我可以根据DB上的腌制密码对其进行验证。如果我以明文方式将密码发送到服务器,或者在没有提示字的情况下发送密码,我可以验证它,但现在我无法可靠地对其进行身份验证。
我想我需要某种形式的2路算法,这样我就可以一键加密,然后在验证密码进行验证的关键。我该怎么做?或者如果它不能完成那么我该怎么做?
要清楚,随机挑战是为了在运输过程中保护密码?或者是一种认证机制来证明他们是人类或类似的? –
为了解决这个问题,我查看了一个名为“Geeklog - 安全CMS”的PHP博客的源代码。瞧,他们发送他们的用户密码是免费和清晰的,他们使用服务器上的MD5来“编码”密码。所以也许我的问题应该是“我应该使用盐和质询词来实现密码验证和认证的类型的系统?” – James
也phpBB似乎发送密码自由和明确。我想我一直在想这个问题。 – James