我需要使用PBKDF2WithHmacSHA1算法,CryptoJs库在jsp中生成带密码的密钥,然后我使用此密钥加密用户登录密码并传递给服务器,并在服务器中再次生成密钥并解密用户登录密码。
我知道在登录过程中我不应该通过http将密码或密钥从客户端传递给服务器,但是我可以在登录jsp页面中保存密码吗?如果没有,我如何使用密码短语在jsp中生成密钥?
即使使用javascript变量存储密码,用户仍然可以使用javascript调试模式来观察密码变量值,所以我认为没有方法可以隐藏jsp中的密码值,任何方法?
或者是使用javascript在客户端加密登录密码的设计有问题吗?
答案 0 :(得分:0)
否。在服务器上生成用于用户输入的单向散列(使用最佳实践,包括安全散列算法和salting)。通过使用相同算法生成具有用户输入的新哈希,将任何未来用户输入与该哈希进行比较,然后比较两个哈希值