我想到了一个没有SSL的认证系统似乎相当安全.我忽略了重要的事情吗?

>用户点击登录页面

>服务器生成用于传输的盐(t-salt)并将其存储在会话中

>服务器将t-salt作为加载的登录页面的一部分发送给用户

>用户输入用户名和密码并点击提交

>浏览器MD5加密密码和t-salt

>浏览器将用户名和MD5(密码t-salt)发送到服务器

>服务器使用用户名(*)从数据库中检索密码

>服务器MD5加密从步骤7检索的密码以及步骤2中存储在会话中的t-salt

> Server比较步骤6和步骤8中的两个MD5

>如果它们相同,则登录成功通过验证

>服务器从会话中删除t-salt(在步骤2中添加)以防止潜在的重放攻击

*请注意,步骤7中检索的密码不能单向加密(通常的做法),以便步骤8工作.但是,双向加密系统仍可用于在数据库级别保护密码. (嘿,这带来了允许更加用户友好的密码恢复过程的附带好处.)

除了上面的说明,这个计划的优点和缺点是什么?

解决方法:

你发送t-salt和哈希算法algorythm.计算哈希中的密码不会花费很长时间.

你应该在我看来重新考虑SSL.

标签:php,mysql,database,security

来源: https://codeday.me/bug/20190711/1437373.html

php ssl 不验证失败,php – 没有SSL的安全身份验证相关推荐

  1. java登录密码验证失败_java – Spring Security:如果身份验证失败,则重定向到登录页面...

    我们有两种登录方式. >用户名和密码由请求标头中的其他应用程序发送.检查IT,如果用户名和密码正确,则进入.[为此编写自定义过滤器] >如果请求标头中不存在用户名和密码,则会显示登录屏幕. ...

  2. 两台服务器身份验证,详解三种不同的身份验证协议

    本文最初发布于devever.net网站,经原作者授权由InfoQ中文站翻译并分享. 现在,身份验证协议的数量快赶上应用程序协议,结果,这个领域很容易让人困惑. 最容易把人搞糊涂的是,很少有人注意到这 ...

  3. 计算机安全用户身份验证,Windows 10 (网络安全 LAN 管理器身份验证) - Windows security | Microsoft Docs...

    网络安全: LAN 管理器身份验证级别 04/19/2017 本文内容 适用范围 Windows 10 介绍网络安全的最佳方案.位置.值.策略管理和安全注意事项 :LAN 管理器身份验证级别 安全策略 ...

  4. 解决“连接无法继续,因为未启用身份验证,并且远程计算机需要启用身份验证以进行连接“

    问题如图1: 解决步骤: 1.先用win7自带远程工具mstsc连接到Win10 (或者 服务器Windows Server 2016 )报错. 2.开始-运行-gpedit.msc,进入组策略编辑器 ...

  5. php中接口验证失败,支付宝手机接口,服务端PHP验证失败,求助

    本帖最后由 js14654952 于 2013-01-16 17:12:11 编辑 最近做支付宝手机接口郁闷死了 求大神们帮忙~! 问题1:手机端安卓自然是JAVA,而服务端是PHP,在做支付宝异步验 ...

  6. java授权失败_自定义Spring Security的身份验证失败处理方法

    1.概述 在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理.目标是使用表单登录方法对用户进行身份验证. 2.认证和授权(Authe ...

  7. 当前版本与卡刷包android_miui验证失败版本不一致 升级MIUI8更新包验证失败,有人解决了吗...

    小米5稳定版升开发版,安装包验证失败了是怎么回事 MIUI稳定版无法直接升级,是下载开发版安装包卡刷升级,安装包验证失败的原因有,开发版版本比稳定版的低,开发版版本与手机不对应,或者手机原来的系统非官 ...

  8. xp 远程计算机需要远程验证登陆,xp远程桌面登陆需要身份验证问题解决

    今天在客户这边部署了一个专门用于远程访问的计算机,但是系统是xp,windows服务器最新的已经到2012版本了,windows服务器从2008开始就要求远程桌面登陆支持nla,因此在使用xp登陆wi ...

  9. linux 验证邮箱账号,linux邮件服务器的身份验证(sasl)

    sasl SASL全称SimpleAuthenticationandSecurityLayer,是一种用来扩充C/S模式验证能力的机制.在Postfix可以利用SASL来判断用户是否有权使用转发服务, ...

  10. python登录验证程序_python – 测试Flask登录和身份验证?

    我正在开发一个Flask应用程序,并使用Flask-security进行用户身份验证(其又使用Flask-login在下面). 我有一个需要身份验证的路由,/ user.我正在尝试编写一个单元测试,测 ...

最新文章

  1. 遮罩,在指定元素上进行遮罩
  2. “聚沙成塔”——用大数据思维理解生命的复杂体系,数据之眼看显微镜下的复杂生命【数据故事计划二等奖】...
  3. JavaSE入门学习51:多线程编程(二)
  4. 在阅读文献中提高升华自己--转
  5. caffe训练中断后如何承接上次继续训练
  6. [APIO2018] Duathlon 铁人两项
  7. 结束语:投递简历和选公司的策略
  8. Linux C 算法——查找
  9. 11 操作系统第三章 内存管理 内存的基本知识 内存管理 内存空间扩充 连续分配管理方式
  10. 2021年看得见的粉丝价值——五大平台KOL粉丝分析研究报告
  11. 报表被老板吐槽又多又丑?因为你没有掌握这些动态报表的技巧
  12. linux df du命令
  13. SQL - server 数据库基础知识
  14. python yield: send, close, throw
  15. erlang的dict源码解析(2)
  16. git 上传项目到linux仓库_总结:上传python项目至git上前的一些准备工作
  17. 体验WebEx网络会议
  18. java实现蒙特卡洛树搜索_面试必会:java实现 BST 二叉查询树详解
  19. Atitit 给投资人的回报 目录 1.1. 经济回报(略) 1 2. 精神文化与学术回报 1 2.1. 提升自我 投资人可以在我们的教育体系提升自我学术水平 1 2.2. 对自己感兴趣的学术领
  20. 记开发过的一款无线音箱解决方案

热门文章

  1. Maximum Xor Secondary(单调栈好题)
  2. (转)Shell中获取字符串长度的七种方法
  3. 你有没有靠谱的基因?一个人靠不靠谱,其实就看这三点:“凡事有交代,件件有着落,事事有回音。”...
  4. 用公众号获取 任意公众号文章列表 软件还是免费
  5. js 对已知数组数据的导出EXCEL
  6. python基础知识-列表,元组,字典
  7. IOS开发基础知识--碎片13
  8. 安装 Windows 自动化 API 3.0 后,Visual Studio 2010 的运行速度更快
  9. 有赞美业微前端的落地总结
  10. Maven项目 之eclipse操作篇