Restlet DigestAuthenticator 散列本地秘密

Question

我正在尝试使用 DigestAuthenticator 来保护我使用 Restlet 创建的 API 的某些部分。在所有示例中，DigestAuthenticator 期望包装一个 LocalVerifier，它将以纯文本形式返回本地机密。显然，我不想以纯文本形式存储所有用户的密码。如何在不以纯文本形式提供本地机密的情况下将 HTTP Digest 与 Restlet 结合使用？

我编写了一个 LocalVerifier ，它使用标识符来查询数据库并检索 sha1 密码，但除非我的 Verifier 以纯文本形式返回密码，否则它不起作用。

有什么想法吗？

Answer 1

所以基本上我在数据库中对服务器端的所有密码进行了哈希处理，并在通过 http 摘要对密码进行哈希处理之前在客户端对密码进行了哈希处理。无论如何，对我来说这似乎是一个更安全的解决方案。