考虑以下交互:是否可以验证密码哈希与另一个密码哈希?
用户将他们的用户名和密码存储在Web服务器上。为了安全起见,服务器记录密码的散列和一些独特的盐。
当用户使用客户端应用程序时,它会向服务器发送一个请求,提交他们的用户名和密码以及其他一些独特盐的散列。
所以,你必须在服务器上的以下信息,并且需要知道该请求是否是地道:
- 服务器的盐
- 服务器的哈希密码
- 客户的盐
- 客户端的散列密码
再次...客户端发送:clientSalt
+ MD5(clientSalt + password)
。服务器有serverSalt
+ MD5(serverSalt + password)
。我不想知道密码,我只想知道是否从密码计算了相同的密码。
不知道被哈希的密码,有什么办法来验证这两个哈希是相同的密码?
我的目标是在客户端 - 服务器环境中允许某种形式的安全身份验证,而无需通过线路交换实际密码。这只是我的一个想法,但我甚至不知道是否有可能。
请您详细介绍一下吗? – EAMann 2011-02-02 16:09:58