如何在不将未加密的密码发送到服务器的情况下验证密码

How to verify a password without sending it unencrypted to a server

我想构建一个登录应用程序,它有一个用于输入用户名和密码的客户端,以及一个服务器,然后接收用户名和密码。

然后服务器应检查它收到的密码是否与已存储的哈希匹配。 我认为最好不要将未加密的密码(仅以字符串形式)从客户端发送到服务器,因此我已经在客户端使用 BCrypt 对其进行了加密。

但是现在我在服务器端有两个散列,但是 BCrypt 只提供了 比较 明文和散列的方法,而不是 散列哈希.

我现在应该将明文密码发送到服务器还是有办法比较两个哈希值?

感谢您的帮助

最简单的方法是使用 TLS https://en.wikipedia.org/wiki/Transport_Layer_Security

您可以从数据库中获取散列值并将其与发送的值进行比较

"Challenge-Response" 是您应该 google 的术语。

原理:

在服务器端,您存储了散列(加盐)密码和盐。

客户端先发送登录名。

服务器在数据库中查找登录的盐并将其连同随机字符串(这就是挑战)发送给客户端。

客户端现在必须按以下方式计算加密密码:将登录密码与盐连接起来并对其进行哈希处理。将结果与挑战中的随机字符串连接起来并对其进行哈希处理。将结果发送到服务器。

服务器现在将散列密码(存储在用户数据库中)与随挑战一起发送的随机字符串连接起来,并计算散列值。结果必须与从客户端收到的结果完全相同。