有没有办法安全地存储用户密码,但能够访问该密码来验证API?

时间:2012-08-08 14:56:05

标签: web-services security passwords password-protection

我希望有一个安全存储用户密码的服务,同时还允许我的代码检索该密码并为外部API验证用户身份。有什么想法吗?

感谢

1 个答案:

答案 0 :(得分:0)

我将做的是以下内容:

  1. 取明文密码
  2. 使用盐
  3. 使用SHA-1或类似的散列算法散列密码和盐
  4. 将该哈希作为密码存储到数据存储区

    5. 当用户然后验证重做步骤1-3而不是将密码存储在数据存储区中时,将其与数据存储区中的哈希值进行比较,如果匹配,则密码正确。

    或者,让用户注册并获得一个“密钥”,这是一个随机的字符序列,让他/她哈希一次(没有盐)并将其发送到您的API,然后用盐重新对其进行比较该

    这完全取决于它的敏感程度。

    // JaggenSWE

相关问题
最新问题