我正在构建一个简单的登录系统,并且一直坚持尝试在不将密码发送到服务器的情况下实施一个安全的系统。
我虔诚地拥有一张桌子,就像: USERID | USERNAME |密码|盐
我的问题是我正在使用sha256用随机生成的盐对密码进行哈希处理。如何在不使用密码发布表单的情况下抢夺该用户名?
我在这方面做了一些事情来注册用户:
<script>
function changeFormLogin() {
var pass = document.getElementById('getPass').value;
var username = document.getElementById('username').value;
var getSalt = Math.random().toString(36).substring(7);
var hashpass = sha256(getSalt+pass);
document.getElementById("hashedPassword").value = hashpass;
document.getElementById("hiddensalt").value = getSalt;
}
</script>
因此通常我现在可以加载新页面并获取名为“ hashedPassword”和“ hiddensalt”的隐藏字段。但是,在这种情况下,我不确定盐是什么。