我目前正在考虑使用bCrypt来加密项目中未来用户的密码。
它看起来非常强大,但这是我的关注 -
test - > $2a$12$4PhCN62AmALB7e.Sv2w9w.AP/JZ28l.dZldU5iHyupY2w5wPz9o.u BCrypt.Net.BCrypt.Verify("test", "$2a$12$4PhCN62AmALB7e.Sv2w9w.AP/JZ28l.dZldU5iHyupY2w5wPz9o.u")的返回以确保匹配。如果使用客户端应用程序使用此Web服务器以及相同的数据,是否需要通过网络发送密码以使服务器与其有效性相匹配?让客户端请求哈希是否可行,并让服务器将其发送给客户端,这样客户端可以进行哈希并验证它吗?
答案 0 :(得分:3)
您可以使用SSL(例如https)阻止通过网络发送明文密码。密码将是纯文本,但连接是安全的,只有服务器和客户端才能解码该连接中的信息。