我有一个客户端通过需要身份验证的代理启动呼叫。
代理向客户端发送质询,客户端使用凭据进行响应。
是否可以在没有密码的情况下以明文形式回应质询?
关键是我不认为在客户端上以明文形式存储密码是个好主意,特别是在这种情况下,因为任何知道密码的人都可以使用其他人的帐户拨打电话
我知道在验证端(本例中的代理)存储密码的哈希是可以的,但我从未在客户端看到过这样的东西。
谢谢,Mickael
答案 0 :(得分:1)
一般情况下,它不会是明文,因为挑战将说明MD5,例如(来自RFC 3261):
Proxy-Authenticate:Digest realm =“atlanta.com”, domain =“sip:ss1.carrier.com”,qop =“auth”, 随机数= “f84f1cec41e6cbe5aea9c8e88d359”, opaque =“”,stale = FALSE,algorithm = MD5
如果它没有说MD5,那就是你的代理问题。
如果你知道这个领域,你可以将响应的第一阶段与密码一起存储为MD5哈希,以及用户名(后来使用nonce)。否则,您必须在本地使用可逆形式的加密。