我正在使用AWS Amplify(如果有任何区别,我认为后端API会对此进行控制),并且想了解用户登录密码时是否以明文形式发送(尽管在TLS连接中)或是否进行了哈希处理-如果是的话,哈希算法是什么。
有人知道吗?谢谢。
答案 0 :(得分:1)
根据我的经验(我没有从AWS编写任何东西来支持此操作),Amplify发送USER_AUTH,后跟类似于SSH的密码询问。这意味着密码不是通过网络发送的,不是纯文本的,也不是哈希的。该方法将类似于here所解释的方法:客户端通过回答挑战来证明它具有密码。使用了哈希机制,但是所使用的哈希不仅仅是密码的哈希。