一直接外包的资深外包狗路过，借地做个广告。对外统一报价 1K/人天，交付时间有保障，交付质量高，欢迎大家甩活过来。

4C32G 的 ECS 上面，我的某几个接口做到了几千(万划掉)的 QPS 。🐶

@darrh00 什么代码还要拍照？弄清楚算法原理，自己写不出来吗？

没办法，只能用手机听歌……mbp 静音

@YouLMAO 注册为啥要传原文？传 MD5 不行吗？数据库为啥要存原文？存 md5(id+MD5)不行吗？我就告诉你吧，我的临时 hash 就是 md5(uuid+md5(id+MD5))，然后返回给客户端 uuid 。客户端计算 md5(uuid+md5(id+md5(用户输入密码)))，就得到了和服务端一样的 hash 值了。这样就可以避免密码原文、密码的 MD5 值，还有数据库存的密码值暴露在网络上面。

@Veneris #56 数据库怎么可能存明文？？？加盐哈希只不过不希望数据库存的密码 hash 直接在网络上传输罢了，数据库存的密码 hash 被抓到基本等同于密码被抓到。随机到相同盐是不可能的，这个盐你可以用雪花 id 、uuid……。至于哈希碰撞的可能性是存在的，但无限接近于 0 。因为正常情况下，这个加盐后的临时密码 hash 只存在几十个毫秒的时间。这么短的生命周期，都能碰上，那也是没办法的事情。

这么做唯一的目的就是：不希望数据库存的密码 hash 直接在网络上传输。这也算过度设计的话，安全方面的加固，就啥都不用干了，干了就是过度设计。

提手上，别背着。对别人对自己都好。

@Veneris 是的

A MDYES

肯定是领导担责任啊。

@acr0ss 多端肯定要逻辑一致的呀

@GIntonic 啊，没仔细看。不是对所有用户的密码做一次 hash，而是对当前登录账号的密码加盐做一次 hash，然后也不需要保存到数据库，验证完就没用了。

@GIntonic 是的，盐是随机的。客户端要先用登录账号获取这个随机的盐。然后才能登录时只用传一个除了客户端和服务端，谁都不知道是啥的 hash 。中间人拿到这个 hash 只能一脸懵逼，尝试重放也没效果，因为这个 hash 是一次性的，当你抓到包的时候就已经失效了。

UltraFine 4K 是 85W，5K 估计也差不多吧。

cookie 只是浏览器存储数据的一种方式，和 token 不是一回事啊。和 token 对标的是 session 。session 和 token 本质上没啥差别，只不过 token 可以承载更多的信息，使用上更加灵活。

@Veneris 登录本质上就是客户端和服务器对暗号，我只是不直接用用户名 /密码对暗号，而是用一个临时的 hash 对暗号而已。

@Veneris 没什么意义，就是登录时没有用户名，除了只有这个 hash，啥都没有。。。但对我来说信息已经足够了，我用这个 hash 能在 redis 里面找到用户 id，就表明暗号对上了，密码验证成功。

@xuanbg 因为这个 hsah 是临时的，存在时间非常短暂，使用后立即失效，不使用也只会存在几秒钟。所以在一定程度上可以有效防范爆破。

@zwpaper 就是防止中间人攻击而已。密码 hash 保密的原理就是利用服务器 /用户和中间人信息不对称。但由于有彩虹表的存在，所以需要加盐来保证不被破解出 hash 对应的明文。