我正在开发一个小型网站,允许用户创建帐户,但是对于授权安全性我一无所知.
我使用codeigniter在PHP中构建了项目,并找到了可以为我处理授权的库(Tank Auth).它以安全的方式存储密码,但是当用户将密码发送到我的服务器时,我仍然担心该部分.
一种简单的方法是在请求后发送密码,但是我想嗅探这样的密码非常容易.在将密码发送到服务器之前,我应该在客户端使用密码做些什么?并为此提供良好的javascript库吗?
解决方法:
正如其他人所说,SSL是首选方式.
David Wotever提到了散列-有关过程here的详细讨论
另一种方法是完全依靠外部提供商来为您处理身份验证-openid是最明显的候选者.
高温超导
C.