V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zxCoder
V2EX  ›  站长

关于网站注册登录模块

  •  
  •   zxCoder · 2020-09-20 11:02:23 +08:00 · 1524 次点击
    这是一个创建于 434 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个安全的注册登录功能是怎么做的,以前自己写项目就是明文传输用户名和密码,然后再计算 md5,再和数据库的 md5 比较。

    想请教一个比较正规安全的注册登录流程是怎么做的?
    9 条回复    2020-09-20 17:58:16 +08:00
    HAWCat
        1
    HAWCat   2020-09-20 11:24:45 +08:00 via Android
    先查查 OAuth2 和 JWT
    Rxianbei
        2
    Rxianbei   2020-09-20 11:31:24 +08:00 via Android
    一般的注册功能就是你那么写的,最多传输层加个 https
    lhx2008
        3
    lhx2008   2020-09-20 11:36:40 +08:00
    https+明文没问题,md5 安全性比较差,换个好点的算法就可以
    pastgift
        4
    pastgift   2020-09-20 12:31:03 +08:00 via iPhone
    就是这么写的
    另外 https 要有,md5 可以换 sha1 之类的
    另外哈希前要加盐,类似 sha1(id+密码)
    heiheidewo
        5
    heiheidewo   2020-09-20 12:45:00 +08:00
    先在前端 hash 后,再通过 https 传到后台比较好吧
    rogwan
        6
    rogwan   2020-09-20 14:01:00 +08:00 via iPhone
    用框架,不要自己手撸。框架的密码哈希安全性经过无数人验证过,比自己强撸的漏洞少的多。
    chihiro2014
        7
    chihiro2014   2020-09-20 15:15:20 +08:00
    Spring Security 的 Bcrypt 不挺现成的么
    Tloudalo
        8
    Tloudalo   2020-09-20 15:35:25 +08:00
    使用慢哈希函数如 PBKDF2 、bcrypt 等来存储密码

    另外,owasp 大法好
    Password: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

    Authentication: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
    abc612008
        9
    abc612008   2020-09-20 17:58:16 +08:00
    2020 年了怎么还用人用 md5,sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码,指不定哪个就明文或者 md5 。
    正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1139 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 23:42 · PVG 07:42 · LAX 15:42 · JFK 18:42
    ♥ Do have faith in what you're doing.