据我所知,当我们使用MVC时,一旦我们获得了用户密码。它应该经过一些层,直到它准备好被引入数据库。那么,我应该在从网络表单中获取密码后立即加密密码吗?或者我可以等待加密数据库上的密码?
如果这是一个愚蠢的问题我会道歉,但我刚刚开始这个。
答案 0 :(得分:0)
这可能是阅读该主题的一个很好的起点:https://crackstation.net/hashing-security.htm。正如其他人所提到的,我强烈建议你不要重新发明安全之轮。使用现有的库,并在编写任何代码之前尝试理解该过程。
直接回答您的问题:如果此人正在创建新帐户/密码,我会在收到密码后立即对其进行哈希处理并将其存储在数据库中。可能不会有任何“中间”步骤。没有真正的理由让他们的密码(哈希或其他)在应用程序中浮动。但请务必遵循我提供的文章中概述的原则。
该主题未涉及:请确保同时实施SSL / TLS。这是另一个需要阅读的话题。我不知道您的服务器位于何处(公司内部或公开发布到世界各地),但是人们倾向于为不同的服务使用相同的密码,并且如果您在从浏览器到密码时不保护密码服务器,他们的密码可以获得并与他们的其他帐户一起使用。
总之 - 在编写任何代码之前,这是一个非常值得阅读的重要主题。安全性很难。请务必花些时间仔细阅读并了解需要完成的工作。