当前位置：文江博客话题详情

如何保护身份验证而不是有效负载？

发布于 2024-07-14 04:44:19 字数 215 浏览 5 评论 0原文

我正在寻找现有的 HTTP 协议来保护身份验证，但不是随后的有效负载。我希望服务器存储每个用户的用户名、散列密码和不同的盐。

HTTP 摘要式身份验证未满足这些要求，因为所有帐户都使用相同的盐。 SSL 失败是因为它加密了整个连接。

编辑添加：

这是用于与网络服务通信的桌面客户端（不涉及浏览器）

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

寒尘 2024-07-21 04:44:19

流行的方案是使用 SSL 保护登录表单，而网站的其余部分不使用 SSL。例如，参见流行的社交网站。

回复收藏 0 原文

画骨成沙 2024-07-21 04:44:19

为什么不直接让您的身份验证机制受 SSL 保护，然后转发到在正常 HTTP 下运行的应用程序的其余部分？

回复收藏 0 原文

请爱~陌生人 2024-07-21 04:44:19

OpenID 怎么样？您是否有必须存储身份验证信息的原因？

编辑添加

抱歉没有发现它是一个桌面应用程序。 OAuth 怎么样？

回复收藏 0 原文

诠释孤独 2024-07-21 04:44:19

有没有一种方法可以构建原始请求 URL 来指示用户？然后，服务器可以在 HTTP 摘要身份验证响应中为每个用户使用不同的领域（充当“盐”）进行响应。例如，http://user.y.com/service 或 http://www.y.com/user/service 形式的请求 URL 将导致诸如以下的挑战回应：

WWW-Authenticate: Digest realm="[email protected]", nonce="oqa9hvq49krprkphtqc"

您能解释一下是什么推动了“不加密”的要求吗？如果您受到中间人攻击，则需要保护整个请求的完整性。在那里，SSL 会非常有帮助。如果您绝对无法进行加密，那么使用未加密的密码套件的 SSL 可以接受吗？

Is there a way that you could structure the original request URL to indicate the user? Then, the server could respond with a different different realm (acting as "salt") for every user in the HTTP digest authentication response. For example, request URLs of the form http://user.y.com/service or http://www.y.com/user/service would result in a challenge response like:

WWW-Authenticate: Digest realm="[email protected]", nonce="oqa9hvq49krprkphtqc"

Can you explain what's driving the "no encryption" mandate? If you are subject to man-in-the-middle attacks, you need to protect the integrity of the entire request. There, SSL would be very helpful. If you absolutely cannot have encryption, would SSL using an unencrypted cipher suite be acceptable?

回复收藏 0 原文

~没有更多了~