这种哈希验证安全吗？

Question

我要问的问题只是因为我很好奇。我认为我正在做正确的事情，但我想确保它实际上是正确的事情。这是关于哈希的。

我当前正在构建的网站具有多个 Ajax 组件。首先，未登录的用户无法使用这些组件。其次，登录的用户只能以自己的名义执行请求。它很容易伪造，因为我发送了用户 ID。

我的验证方法如下。每个用户在数据库中都有一个包含随机信息的列，例如 8 个字符的随机字符串。除了用户发出的每个 Ajax 请求之外，该随机字符串也会作为哈希字符串发送。当服务器收到 Ajax 请求时，该哈希值会与用户表进行匹配，以确保 ID 和哈希值是有效的一对。如果是，则该请求有效。

“秘密”随机字符串永远不会进入用户领域，并且不容易被猜测，这意味着用户永远无法生成哈希值。这种保护请求安全吗？有什么缺点吗？如果我加点盐会更好吗？

顺便说一句，这种验证真的让我很感兴趣。我学习了交互设计课程。 “我们”的原则是“世界上的知识和头脑中的知识”。散列确实使用该技术将元数据从“头部”传输到“世界”（反之亦然）。头部和世界都有自己的比较和解密元数据的方法，因此不可能冒充请求。只要世界不知道头脑所知道的事情。

嗯，也就是说，我想知道我的请求是否（相对）安全。提前致谢！

雷德尔

Answer 1

是的，但有一些注意事项。

1) 如果哈希值以明文形式发送，则可能会受到欺骗。拦截哈希值的攻击者现在可以冒充有效用户。为了真正的安全，您需要保护通道 (HTTPS)。

2) 确保使用现有的加密安全哈希。不要尝试自己推出。我建议远离 MD5。鉴于这是一个未开发的情况并且 SHA1 实现已经存在，所以没有理由使用 MD5。

Answer 2

据我所知，是的，只需确保使用与其密码相关的内容对其进行加密（以便您可以解密它，例如密码的前 2 个和后 2 个字母），添加签名，使用 HTTPS（可以是如果您使用的服务器没有充分加密，即使您的网站连接已充分加密，则可以绕过），如果您找到理由，请添加盐，并确保不要使用 MD5（我推荐 sha256、sha512 或 Whirlpool）。