如何在不将未加密的密码发送到服务器的情况下验证密码
How to verify a password without sending it unencrypted to a server
我想构建一个登录应用程序,它有一个用于输入用户名和密码的客户端,以及一个服务器,然后接收用户名和密码。
然后服务器应检查它收到的密码是否与已存储的哈希匹配。
我认为最好不要将未加密的密码(仅以字符串形式)从客户端发送到服务器,因此我已经在客户端使用 BCrypt 对其进行了加密。
但是现在我在服务器端有两个散列,但是 BCrypt 只提供了 比较 明文和散列的方法,而不是 散列哈希.
我现在应该将明文密码发送到服务器还是有办法比较两个哈希值?
感谢您的帮助
最简单的方法是使用 TLS https://en.wikipedia.org/wiki/Transport_Layer_Security
您可以从数据库中获取散列值并将其与发送的值进行比较
"Challenge-Response" 是您应该 google 的术语。
原理:
在服务器端,您存储了散列(加盐)密码和盐。
客户端先发送登录名。
服务器在数据库中查找登录的盐并将其连同随机字符串(这就是挑战)发送给客户端。
客户端现在必须按以下方式计算加密密码:将登录密码与盐连接起来并对其进行哈希处理。将结果与挑战中的随机字符串连接起来并对其进行哈希处理。将结果发送到服务器。
服务器现在将散列密码(存储在用户数据库中)与随挑战一起发送的随机字符串连接起来,并计算散列值。结果必须与从客户端收到的结果完全相同。
我想构建一个登录应用程序,它有一个用于输入用户名和密码的客户端,以及一个服务器,然后接收用户名和密码。
然后服务器应检查它收到的密码是否与已存储的哈希匹配。 我认为最好不要将未加密的密码(仅以字符串形式)从客户端发送到服务器,因此我已经在客户端使用 BCrypt 对其进行了加密。
但是现在我在服务器端有两个散列,但是 BCrypt 只提供了 比较 明文和散列的方法,而不是 散列哈希.
我现在应该将明文密码发送到服务器还是有办法比较两个哈希值?
感谢您的帮助
最简单的方法是使用 TLS https://en.wikipedia.org/wiki/Transport_Layer_Security
您可以从数据库中获取散列值并将其与发送的值进行比较
"Challenge-Response" 是您应该 google 的术语。
原理:
在服务器端,您存储了散列(加盐)密码和盐。
客户端先发送登录名。
服务器在数据库中查找登录的盐并将其连同随机字符串(这就是挑战)发送给客户端。
客户端现在必须按以下方式计算加密密码:将登录密码与盐连接起来并对其进行哈希处理。将结果与挑战中的随机字符串连接起来并对其进行哈希处理。将结果发送到服务器。
服务器现在将散列密码(存储在用户数据库中)与随挑战一起发送的随机字符串连接起来,并计算散列值。结果必须与从客户端收到的结果完全相同。