关于网站注册登录模块
資深大佬 : zxCoder 3
一个安全的注册登录功能是怎么做的,以前自己写项目就是明文传输用户名和密码,然后再计算 md5,再和数据库的 md5 比较。
想请教一个比较正规安全的注册登录流程是怎么做的?
大佬有話說 (9)
关于网站注册登录模块
-
資深大佬 : HAWCat先查查 OAuth2 和 JWT
-
資深大佬 : Rxianbei一般的注册功能就是你那么写的,最多传输层加个 https
-
資深大佬 : lhx2008https+明文没问题,md5 安全性比较差,换个好点的算法就可以
-
資深大佬 : pastgift就是这么写的
另外 https 要有,md5 可以换 sha1 之类的
另外哈希前要加盐,类似 sha1(id+密码) -
資深大佬 : heiheidewo先在前端 hash 后,再通过 https 传到后台比较好吧
-
資深大佬 : rogwan用框架,不要自己手撸。框架的密码哈希安全性经过无数人验证过,比自己强撸的漏洞少的多。
-
資深大佬 : chihiro2014Spring Security 的 Bcrypt 不挺现成的么
-
資深大佬 : Tloudalo使用慢哈希函数如 PBKDF2 、bcrypt 等来存储密码
另外,owasp 大法好
Password: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.htmlAuthentication: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
-
資深大佬 : abc6120082020 年了怎么还用人用 md5,sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码,指不定哪个就明文或者 md5 。
正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。 -