在前面,我想承认自己是加密和密码安全的全新手.我正在尝试将密码存储在ruby的babysat数据库中.我的理解是明文密码应该附加到一个随机的"salt"中,整个短语应该通过一些散列算法进行散列,例如:
Digest::SHA1.hexdigest(salt_plus_plainpassword)
一旦该字符串存储在数据库中,如果有一个现在未知的随机盐附加到该数据库,如何再次获取它以验证用户输入的内容是否正确?
最好的方法是将salt存储为每个用户一个,并根据他们执行时的时间生成.
确实,一旦一个人访问您的数据库,他们就可以看到用户的盐,但如果发生这种情况,您需要担心更大的问题.
检查用户密码的方法是,您使用明文输入并使用salt加密,然后比较crypted_passwords,如果它们匹配则进行身份验证.我不相信存储盐是一个问题,因为你需要它.如果您担心SQL注入攻击,最好不要保护您的应用程序,而不是存储您需要的信息,在这种情况下,每个用户都会使用.