我正在为没有SSL的网站构建一个Web登录系统,所以这是我的工具:
我在服务器中有一个表有两个字段,一个是原始用户名和pass_hashed(与sha1(密码)一起使用)。
当用户登录我的系统时,我会这样做:
在服务器端:
我的问题是我的方法还可以吗?如果是,我可以将密钥用作时间戳吗?
答案 0 :(得分:0)
是的,组合似乎没问题。您想使用时间戳生成密钥吗?
如果是这样,你可以从它开始,但尝试不同的组合,有助于提高安全性。
答案 1 :(得分:0)
虽然你的解决方案总比没有好,但最终还是存在缺陷。这是因为在用户注册过程中的某些时刻,他们只需要发送一部分信息。如果此时通过网络捕获信息,则可以稍后重复登录。
你真的需要SSL。
答案 2 :(得分:0)
根据其他用户的建议,您实施的系统不安全,可能会导致安全问题。如果您要收集客户的信息,则必须使用SSL证书。它不会花费更多。它的起价低至7美元!!