关于网站注册登录模块

2020-09-20 11:02:23 +08:00
 zxCoder
一个安全的注册登录功能是怎么做的,以前自己写项目就是明文传输用户名和密码,然后再计算 md5,再和数据库的 md5 比较。

想请教一个比较正规安全的注册登录流程是怎么做的?
2541 次点击
所在节点    站长
9 条回复
HAWCat
2020-09-20 11:24:45 +08:00
先查查 OAuth2 和 JWT
Rxianbei
2020-09-20 11:31:24 +08:00
一般的注册功能就是你那么写的,最多传输层加个 https
lhx2008
2020-09-20 11:36:40 +08:00
https+明文没问题,md5 安全性比较差,换个好点的算法就可以
pastgift
2020-09-20 12:31:03 +08:00
就是这么写的
另外 https 要有,md5 可以换 sha1 之类的
另外哈希前要加盐,类似 sha1(id+密码)
heiheidewo
2020-09-20 12:45:00 +08:00
先在前端 hash 后,再通过 https 传到后台比较好吧
rogwan
2020-09-20 14:01:00 +08:00
用框架,不要自己手撸。框架的密码哈希安全性经过无数人验证过,比自己强撸的漏洞少的多。
chihiro2014
2020-09-20 15:15:20 +08:00
Spring Security 的 Bcrypt 不挺现成的么
Tloudalo
2020-09-20 15:35:25 +08:00
使用慢哈希函数如 PBKDF2 、bcrypt 等来存储密码

另外,owasp 大法好
Password: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

Authentication: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
abc612008
2020-09-20 17:58:16 +08:00
2020 年了怎么还用人用 md5,sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码,指不定哪个就明文或者 md5 。
正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/708706

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX