这是一种常见的或有缺陷的安全措施吗?

时间:2017-03-17 16:27:48

标签: node.js security networking encryption server

我希望以下列方式进行用户身份验证:

  • 用户生成加密密钥并将其保留在其设备上。然后密钥通过密码加密。
  • 要创建新帐户,用户会发送一个公钥和一条签名消息,上面写着“新成员”之类的内容。服务器解密消息并验证公钥是否匹配。然后,它会为该成员创建一个新帐户。
  • 每当用户与服务器交互时,他都会使用存储在他或她的设备上的私钥来签署一条消息,表明他或她的请求。也许请求的参数也是加密的。

服务器在每一步验证用户是否拥有私钥。私钥在任何时候都不会通过互联网传播。我看到它的方式,整个协议可以在没有安全漏洞的GET请求上运行。唯一的安全漏洞似乎是用户密钥的本地存储,但我的实现避免了这种情况(因此这里导出的方法)。

现在出现了真正的问题。该协议是否有任何库设置可以很容易地实现它?我正在寻找节点和bower实现。大多数加密库使您在5-6步骤中执行此类操作。这是足够的,但我想知道这是否真的是一种我从未听说过的常用方法。

0 个答案:

没有答案