Biztonságos hitelesítés a helyszínen anélkül, hogy a https, savepearlharbor

Ma a legtöbb helyen még mindig dolgozik a protokoll http, https helyett. Ez rosszabb, a biztonság szempontjából, de ez olcsóbb és könnyebb fenntartani. Biztonsági hitelesítés az ilyen oldalakon - a probléma, hiszen a legtöbb megvalósították egy egyszerű űrlap elküldése c / jelszó a kiszolgálóhoz, amely ellenőrzi a jelszó hash hash c, amely megfelel a megadott bejelentkezést. A honlap a nyílt Wi-Fi hálózatot vagy más nyilvános helyen, bárki, aki tudja, hogyan kell használni a google könnyedén elfogják jelszavát. Néhány menjen egy kicsit tovább, küldj egy jelszó hash a szerverre, de nem sokkal jobb, mert a szivárvány táblázatok (különösen md5), akkor meg kell találnia a jelszót, amelynek nem nulla sikerrel, és minden nap növeli a valószínűségét a sikerre.

Ebben a cikkben egy alternatív, a kifinomultabb módszert hitelesítés, amelyen a jelszót akár tiszta formában, akár formában hash nem világít, és ugyanabban az időben, ez a megközelítés gyakorlatilag nincs szükség hozzá egy captcha a bejelentkezési űrlapot.

Minden leírt már most is használják a gyakorlatban, így a példák lesz valóságos, és figyelembe véve az összefüggésben azok használatát.

Hitelesítés kerül sor két szakaszban c AJAX.

Véletlen hash keletkezik a szerveren. PHP példa:

Véletlen hash tárolják a szerveren, és közli c bejelentkezést.

Mint látható, a jelszó hash használják sha512. public_key - globális változót, amely a vonal hossza 56 karakter, és használják a sót. Ez a változó a nyilvánosság számára hozzáférhetővé, hanem annak a ténynek köszönhető, hogy használ egy viszonylag bonyolult algoritmust kapjunk hash sha512 (kétszer), - a generációs szivárvány táblázatok minden helyszínen lesz elég nehéz, költséges és időigényes eljárás, hogy volt sok értelme.

A hash bejelentkezési adatait, akkor keresse meg a megfelelő jelszót a szerverre, egy véletlen hash generálni a megfelelő auth_hash, és hasonlítsa össze a c, melyet kapott a felhasználó. Abban az esetben, hogy elindítja a munkamenetet, és frissíti a felhasználó az oldalon. hibakezelés végrehajtás továbbra is az érvelés.

Mi majd c regisztráció

Nagyon könnyen generál egy jelszót a felhasználó számára, és e-mailt küldeni. Bármilyen önérzetes és felhasználói e-mail szolgáltatás támogatja e-mail hozzáférés titkosított csatornán keresztül. A felhasználó, ha szükséges, a jelszó megváltoztatása.

Jelszó módosítása / hasznosítás

Jelszó visszaállítás ebben az áramkörben is végzünk a postafiókot.

jelszó változás következők szerint kell végrehajtani:

• a régi és az új jelszót generál hash mint a fenti példában: