我正在尝试使用DigestAuthenticator来保护我使用Restlet创建的API的某些部分。在所有示例中,DigestAuthenticator期望包装将以纯文本形式返回本地机密的LocalVerifier。显然,我不想以纯文本形式存储我的所有用户密码。如何在不以纯文本形式提供本地机密的情况下使用HTTP Digest和Restlet?
我编写了一个LocalVerifier,它使用标识符来查询数据库并检索sha1'd密码,但除非我的Verifier以纯文本形式返回密码,否则它不起作用。
有什么想法吗?
答案 0 :(得分:0)
所以基本上我在数据库中对服务器端的所有密码进行了哈希处理,并且在通过http摘要进行哈希处理之前,我在客户端上对密码进行了哈希处理。无论如何,对我来说似乎是一个更安全的解决方案。