个人中心
gpt4 book ai didi

security - 使用预共享 key 进行身份验证

转载 作者:行者123 更新时间:2023-12-04 05:35:47 26 4
gpt4 key购买 nike

我们正在开发一个需要安全用户身份验证的 GWT 网络应用程序。我们有可能通过传真向用户提供凭据。所以我们可以使用预先共享的 secret 。我们不可能在这个应用程序中使用 ssl 或 https。

我想知道在服务器上存储通行证并验证用户的更安全的方法是什么?我怀疑我们应该将密码散列两次吗?

最佳答案

如果没有加密,你应该在客户端散列密码(用服务器提供的随机盐加盐)并比较结果散列。

这种方法有两个优点:

  • 每次登录的哈希值都不同
  • 密码永远不会以纯文本形式发送。

    • 但是,如果没有加密和适当的身份验证, session 劫持和此类攻击是微不足道的。

    请注意,没有办法做到这一点 足够安全以挫败任何攻击企图 一个相当有能力的恶意方在http之上没有某种加密/身份验证层,所以最好不要给用户任何虚假的安全感,mmkay?

    “让我们只使登录尽可能安全”中的最大问题是 session 侧劫持攻击在没有加密的情况下是相当微不足道的。 Sidejacking(定义在 Wikipedia 中)是:

    Session sidejacking, where the attacker uses packet sniffing to read network traffic between two parties to steal the session cookie. Many web sites use SSL encryption for login pages to prevent attackers from seeing the password, but do not use encryption for the rest of the site once authenticated. This allows attackers that can read the network traffic to intercept all the data that is submitted to the server or web pages viewed by the client. Since this data includes the session cookie, it allows him to impersonate the victim, even if the password itself is not compromised.[3] Unsecured Wi-Fi hotspots are particularly vulnerable, as anyone sharing the network will generally be able to read most of the web traffic between other nodes and the access point.

    关于security - 使用预共享 key 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11958414/

    26 4 0
    文章推荐: regex - 简单的 perl 正则表达式搜索替换脚本
    文章推荐: google-app-engine - Appengine - 从 db.Model 转换为 ndb.Model?
    文章推荐: sql-server - 在 TSQL 中处理不明确的 varchar(唯一标识符与否)时转换失败
    文章推荐: php - JSONLint 和 PHP JSON_DECODE 的区别
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com