推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
这是一个创建于 1517 天前的主题,其中的信息可能已经有所发展或是发生改变。
一个安全的注册登录功能是怎么做的,以前自己写项目就是明文传输用户名和密码,然后再计算 md5,再和数据库的 md5 比较。
想请教一个比较正规安全的注册登录流程是怎么做的?
想请教一个比较正规安全的注册登录流程是怎么做的?
 |
1
HAWCat 2020-09-20 11:24:45 +08:00 via Android
先查查 OAuth2 和 JWT
|
 |
2
Rxianbei 2020-09-20 11:31:24 +08:00 via Android
一般的注册功能就是你那么写的,最多传输层加个 https
|
 |
3
lhx2008 2020-09-20 11:36:40 +08:00
https+明文没问题,md5 安全性比较差,换个好点的算法就可以
|
 |
4
pastgift 2020-09-20 12:31:03 +08:00 via iPhone
就是这么写的
另外 https 要有,md5 可以换 sha1 之类的 另外哈希前要加盐,类似 sha1(id+密码) |
 |
5
heiheidewo 2020-09-20 12:45:00 +08:00
先在前端 hash 后,再通过 https 传到后台比较好吧
|
 |
6
rogwan 2020-09-20 14:01:00 +08:00 via iPhone
用框架,不要自己手撸。框架的密码哈希安全性经过无数人验证过,比自己强撸的漏洞少的多。
|
 |
7
chihiro2014 2020-09-20 15:15:20 +08:00
Spring Security 的 Bcrypt 不挺现成的么
|
 |
8
Tloudalo 2020-09-20 15:35:25 +08:00
使用慢哈希函数如 PBKDF2 、bcrypt 等来存储密码
另外,owasp 大法好 Password: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html Authentication: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html |
 |
9
abc612008 2020-09-20 17:58:16 +08:00
2020 年了怎么还用人用 md5,sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码,指不定哪个就明文或者 md5 。
正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。 |
Select Language