将用户名和密码发送到身份验证服务器时应考虑哪些最佳实践？

Question

我想知道使用 ajax 向身份验证服务器发送用户名和密码时需要记住哪些事情。我正在使用 PhoneGap 和 jQuery 开发一个 Web 应用程序，我对此非常陌生，我想确保我以正确的方式进行操作。欢迎任何建议。

Answer 1

您应该使用挑战-响应机制。

服务器应向客户端发送不可重复使用的过期随机数和用户的盐。
客户端应该使用盐对密码进行哈希处理，使用随机数对生成的哈希值进行哈希处理，然后将该哈希值发送回服务器。

服务器应在其数据库中存储预加盐的密码哈希值。
然后，它应该使用随机数对存储的哈希值进行哈希处理，并将其与来自客户端的哈希值进行比较。

这使得攻击者无法得知原始密码，即使攻击者是活跃的中间人并窃取了数据库。
但是，如果攻击者窃取了数据库，他将能够通过绕过您的 UI 并使用已知的哈希来登录。

Answer 2

这是您自己构建的应用程序，还是您将与现有的基于网络的服务对话？

假设 HTTPS 可用，则必须使用 HTTPS。如果您自己构建网站，我建议您研究基于令牌的系统，类似于许多流行网站使用的系统。

基本流程如下：

• 您（开发人员）在网站上注册以获得 API 密钥以及可能的某种令牌。
• 在您的应用程序中，您将用户的密码与应用程序的令牌结合起来，并通过哈希算法运行它们。
• 您的应用程序将哈希密码以及您的 API 密钥提交到服务器。
• 如果用户的凭据通过检查，服务器会回复一个身份验证令牌，该令牌只是一个短代码。您的应用程序必须在向服务器发出的每个请求中包含此令牌。
• 身份验证令牌可能会在某个时候过期，因此您可能需要在某个时候重新进行身份验证。

一般来说，避免以纯文本形式存储用户密码。以与服务器身份验证系统兼容的形式对其进行哈希处理，然后存储该值。

Answer 3

我用过雷蒙德的例子。我还在客户端有哈希密码。

http://www.raymondcamden .com/index.cfm/2011/11/10/基于服务器的登录与 PhoneGap 示例