我有一个工作正常的WebAPI应用程序。登录,注册等没有问题。但是,我遇到了需要注意的事情。当某人注册或登录时,他们的密码将以纯文本形式发送。我知道我们可以申请HTTPS证书,这将解决。但是,我更希望找到一个可以哈希密码的解决方案,而WebAPI可以自动提取密码。我不打算对内置的WebAPI功能进行更改以散列和存储PW。这也是为了确保当我使用FF或Chrome开发人员工具时,没有人可以从正在发送的数据中读取PW。
我使用Angular或JQuery AJAX来调用我的WebAPI。
答案 0 :(得分:0)
可以加密前端的密码,并将散列密码和salt + rounds(使用时)发送到服务器。
当用户尝试登录时出现问题,您需要将盐和舍入到前端,将其密码(输入的密码)哈希发送到服务器,在那里进行比较,如{{1}并返回true / false。
所以在我看来,这不仅仅是在服务器端做所有事情。唯一的好处是,没有人能够在你的开发工具或有效载荷中看到你的密码。