我有一个asp.net Web API。我实施了令牌身份验证,试图验证数据库中的用户名和密码。我是JWT的新手,所以我需要您的建议。
这是我的问题;
最好的问候。
答案 0 :(得分:0)
您应该绝对加密数据库中的密码。如果您hash it with "salt"更好,您可以使用(哈希可以实现登录逻辑,但是即使您知道哈希也无法恢复原始密码)。
如果连接受TLS(HTTPS)保护,则在请求正文中发送密码是可以的。将其放在标题中没有任何好处。
用户名通常以纯文本存储。
P.S。您的问题与JWT无关,只是一般的密码管理。