如何验证和验证密码？

发布于 2024-12-11 09:47:44 字数 354 浏览 0 评论 0原文

我真的不知道在这里要问什么问题。我的问题陈述很简单：我需要使用盐在数据库上存储密码，根据存储的密码验证输入的密码，并在用户尝试登录时使用随机质询词对密码进行身份验证。我正在使用 php/javascript。

在试图解决这个问题时，我遇到的问题是，如果我以 html 形式传递挑战词，然后用该词对输入的密码进行哈希处理，我可以在服务器上验证密码，但我无法分离来自挑战词的密码，这样我就可以根据数据库上的加盐密码验证它。如果我将密码以明文形式发送到服务器或在没有挑战词的情况下对其进行哈希处理，我可以验证它，但现在我无法可靠地验证它。

我想我需要某种双向算法，这样我就可以用密钥对其进行加密，然后在验证密码的同时验证密钥。我该怎么做？或者如果做不到那我应该做什么？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

薄荷→糖丶微凉 2024-12-18 09:47:44

使用客户端脚本加密密码通常是一个坏主意。执行此操作的正确方法是使用 SSL。

另外，绝不以明文形式存储密码。如果您必须使用上述方法，请对密码进行两次哈希处理：一次用于将其存储在数据库中，另一次用于双向身份验证。

回复收藏 0 原文

拥醉 2024-12-18 09:47:44

要存储密码，请生成随机盐。存储HASH（密码+盐）和盐。（服务器或客户端都可以执行此计算。）
要执行身份验证，服务器会查找salt 和HASH(password+salt)。然后，它生成一个随机质询，并将盐和质询发送给客户端。
在客户端上，提示用户输入密码。计算：
HASH( HASH(密码+盐) + 质询)。将其发送到服务器。
在服务器上，您已经有了HASH(password+salt)并且您有挑战。因此您还可以计算：
HASH( HASH(password+salt) +challenge)。将其与客户发送给您的内容进行比较。如果它们匹配，则密码正确。