你是如何保护用户的密码的?
2012-01-12 16:12
190 查看
只要有会员系统的网站就会涉及到密码,如果处理不好就会造成前阵子那种事。下面我就说说我在开发时是如何处理密码这块功能的。
首先,密码必须加密,但简单的MD5加密已经没有太大意义,为了防止字典破解,我会给密码加盐后在MD5,我一般是用用户自己的密码当盐。
这一步操作后基本上就不怕数据库暴露了,接下来要做的就是前端的了。我们知道,HTTP传输协议是明文的,也就是可能用户密码还没有到后端,在传输途中就可能泄露了,那要怎么解决呢?
其实我们完全可以把加密这一步骤放到前端来,密码加密好后再进行传输,这样传输数据如果被抓取,也是加密过的密码。
既然要在前台加密,那就需要一个用来实现加密的js,我这推荐一个MD5.js,调用方法可以看下源码,没几行代码,而且也没有压缩过。
这就是我对密码这块做的2个处理,希望对大家有帮助。如果你又更好的办法也希望能分享出来。
首先,密码必须加密,但简单的MD5加密已经没有太大意义,为了防止字典破解,我会给密码加盐后在MD5,我一般是用用户自己的密码当盐。
这一步操作后基本上就不怕数据库暴露了,接下来要做的就是前端的了。我们知道,HTTP传输协议是明文的,也就是可能用户密码还没有到后端,在传输途中就可能泄露了,那要怎么解决呢?
其实我们完全可以把加密这一步骤放到前端来,密码加密好后再进行传输,这样传输数据如果被抓取,也是加密过的密码。
既然要在前台加密,那就需要一个用来实现加密的js,我这推荐一个MD5.js,调用方法可以看下源码,没几行代码,而且也没有压缩过。
这就是我对密码这块做的2个处理,希望对大家有帮助。如果你又更好的办法也希望能分享出来。
相关文章推荐
- 如何让域用户登录SharePoint记住密码
- 如何保证用户登陆时提交密码已经加…
- 如何修改Oracle用户密码
- 如何在CentOS的单用户模式下修改root的密码
- 如何使用PLSQL添加用户和密码,登录时可以免输入密码 PLSQL配置新数据库连接
- linux:如何修改用户的密码
- [11] DevOps 自动化运维工具Chef----如何获得Chef数据用户的用户名和密码?
- EXCEL工作表保护密码忘记了,如何撤消工作表保护?
- Linux如何修改root用户的密码
- OSX 下,如何为文件和文件夹建立密码保护
- 如何修改linux用户密码?
- [1月21日的脚本] 如何使用指定的用户账号识别服务并修改密码
- 如何设置域用户PSO密码策略
- Linux如何给单用户模式设置密码?
- Oracle如何用户更改密码
- WINDOWS 2000下如何获得用户登录名和密码
- VBA 如何设置密码保护
- Windows XP 如何修改实现不输入用户密码而直接登录系统
- 如何找回Oracle中system,sys用户的密码
- ZT.如何修改遗失MYSQL的ROOT用户密码