我正在rails中实现API,并希望使用HTTP摘要授权,因为它比基本授权更安全。如果我的密码作为单向加密哈希存储在数据库中,那么如何实现这一点。
答案 0 :(得分:0)
诚实?不要打扰。如果您打算使用基于HTTP的摘要,您也可以使用表单或基本身份验证。 HTTPS就是解决方案。使用Digest仍然是完全不安全的(它使用弱哈希并且它不能防御MitM攻击)。
HTTPS并不难,如果没有它,您将很难保护您的应用程序。
答案 1 :(得分:0)
使用存储在服务器上的哈希值的摘要授权的唯一方法是在客户端上复制哈希算法,将用户的密码转换为哈希值,然后基本上成为新密码(共享密钥)。
如果在生成哈希值时使用了salt,则需要在客户端上使用相同的salt,这可能会很困难。
正如其他人所建议的那样,请考虑使用HTTPS。然后,您可以将纯文本密码从客户端发送到服务器,并依靠HTTPS进行端到端保护。 HTTPS提供加密和身份验证,从而关闭循环。