我想到了一個(gè)沒(méi)有SSL的認(rèn)證系統(tǒng)似乎相當(dāng)安全.我忽略了重要的事情嗎？

>用戶點(diǎn)擊登錄頁(yè)面

>服務(wù)器生成用于傳輸?shù)柠}(t-salt)并將其存儲(chǔ)在會(huì)話中

>服務(wù)器將t-salt作為加載的登錄頁(yè)面的一部分發(fā)送給用戶

>用戶輸入用戶名和密碼并點(diǎn)擊提交

>瀏覽器MD5加密密碼和t-salt

>瀏覽器將用戶名和MD5(密碼t-salt)發(fā)送到服務(wù)器

>服務(wù)器使用用戶名(*)從數(shù)據(jù)庫(kù)中檢索密碼

>服務(wù)器MD5加密從步驟7檢索的密碼以及步驟2中存儲(chǔ)在會(huì)話中的t-salt

> Server比較步驟6和步驟8中的兩個(gè)MD5

>如果它們相同,則登錄成功通過(guò)驗(yàn)證

>服務(wù)器從會(huì)話中刪除t-salt(在步驟2中添加)以防止?jié)撛诘闹胤殴?/p>

*請(qǐng)注意,步驟7中檢索的密碼不能單向加密(通常的做法),以便步驟8工作.但是,雙向加密系統(tǒng)仍可用于在數(shù)據(jù)庫(kù)級(jí)別保護(hù)密碼. (嘿,這帶來(lái)了允許更加用戶友好的密碼恢復(fù)過(guò)程的附帶好處.)

除了上面的說(shuō)明,這個(gè)計(jì)劃的優(yōu)點(diǎn)和缺點(diǎn)是什么？

解決方法:

你發(fā)送t-salt和哈希算法algorythm.計(jì)算哈希中的密碼不會(huì)花費(fèi)很長(zhǎng)時(shí)間.

你應(yīng)該在我看來(lái)重新考慮SSL.

標(biāo)簽：php,mysql,database,security

來(lái)源： https://codeday.me/bug/20190711/1437373.html

總結(jié)

以上是生活随笔為你收集整理的php ssl 不验证失败,php – 没有SSL的安全身份验证的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。