我们正在构建一个api,帮助第三方应用程序验证远程服务器上数据库的UID /密码组合。
当用户在第三方应用中输入用户名和密码并点击提交时,用户名和密码必须安全地发送到我们的api,我们将UID和密码发送到远程服务器进行比较它反对数据库并告诉我们组合是否有效。我们如何发送密码?我们如何对它进行哈希处理,以便可以通过具有数据库的远程服务器对其进行解散和验证?
我们正在使用django rest框架。
答案 0 :(得分:1)
首先,您要使用强大的SSL连接。
其次你可以使用像“mysecretsalt $”§%§$%§$“这样的盐,并像哈希一样使用
$ var = sha1($ salt。$ pass);
然后将$ var作为authtoken发送。
在远程服务器上,您将所有盐渍密码保存在数据库中,并将其与令牌进行比较,或者只在请求时将其加密,并将数据库中的盐渍密码与发送的令牌进行比较......
答案 1 :(得分:1)
只要您使用SSL进行所有网络通信,就不需要预先哈希"它。只需发送它。
你做的任何其他事情(加密等)都无法重新发明SSL,所以就这样做。