那些遇到过的问题

安全的用户身份验证 - 我做得对吗?

rec*_*ive 0 asp.net security authentication

我正在为客户开发一个Asp.NET站点,并希望确保我使用安全的身份验证方案.

在我的用户表中,我有一个计算为的身份验证哈希列sha1(salt + username + password).该网站通过HTTPS提供服务.要登录,用户通过HTTPS提交其名称和密码.Web服务器计算哈希值,并将其与数据库存储值进行比较以进行身份​​验证.

这听起来相当安全吗?我把这个计划运过我的一个朋友,他说它很容易受到邪恶的系统管理员的攻击.他说我应该做以下事情:

  • 每次提供登录页面时,服务器都会指定唯一的salt.
  • 在提交之前通过javascript将密码哈希在客户端上.
  • 发送此哈希值进行身份验证,但不是密码.
  • 做一些我不理解的奇怪的垃圾来验证哈希.

我该怎么办?

Mat*_*ser 7

不要重新发明轮子,只需使用.Net会员资格.

归档时间:

查看次数:

942 次

最近记录:

16 年,4 月 前
相关归档
编译错误:两个DLL中都存在"ASP.global_asax"类型 67
如何更改默认SVN用户名和密码以提交更改? 44
基于每个数据库的CouchDB授权 25
3层架构 - 需要一个例子 13
UserManager在.Net Identity中的奇怪行为 13
为公共django网站制作测试代码 11
由于"身份验证协议被拒绝",MySQL ODBC链接失败 10
使用 docker compose 的容器之间的 API 请求连接被拒绝 10
Java 7u4 webstart安全性异常:类与信任级别不匹配 7
Solr 4具有基本认证 3
难疑归档
如何从YouTube API获取YouTube视频缩略图? 2291
如何在Python中小写一个字符串? 1908
以像素为单位获取屏幕尺寸 1798
如何按字典值对字典列表进行排序? 1722
将浮点数限制为两个小数点 1527
如何为"选择"框创建占位符? 1426
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
活动已泄露最初添加的窗口 1117
NP,NP-Complete和NP-Hard有什么区别? 1064
删除目录的符号链接 1063