我正在構建使用HTTP進行通信的非瀏覽器客戶端服務器(XULRunner-CherryPy)應用程序。我現在琢磨的區域是用戶認證。由於我對安全性缺乏實質性知識,我更傾向於使用經過驗證的方法和現成的圖書館來試圖自己創造和/或構建某種東西。現代客戶端/服務器身份驗證技術
最近我一直在閱讀很多文章,我可以說我留下的所有內容都是很多挫折感,其中大部分由this和this貢獻。
我想我需要的是:
- 在數據庫密碼的安全存儲(自適應哈希?)的用戶憑證
- 安全有線傳輸(摘要式身份驗證SSL?)
- 安全令牌驗證後續請求(不知道這一點)
所以問題是:什麼是現代(無頭痛優先)技術和/或庫實現t他? (不會存儲敏感信息,如信用卡號碼)。
我一直在看OAuth,他們有一個新的版本,他們強烈建議使用。問題是文檔仍在開發中,沒有實現新版本(?)的庫。
感謝您的建議。看起來像多重迭代哈希與足夠長的鹽將足夠安全(即使鹽值與散列密碼一起存儲)。 – vit 2010-01-04 11:39:18
對於除最嚴格要求之外的所有應用程序,這聽起來都不錯。切記要小心如何通過線路發送密碼,在用戶登錄時過期使用會話標識符,以及所有其他同樣重要的安全考慮因素,這些都會影響Web認證。 – Clueless 2010-01-04 14:03:16