我正在運行Socket.IO,並通過mysql查詢(在js中運行)確認用戶名和密碼,服務器部分工作良好。我的問題是:是否有可能將客戶端的用戶名/密碼從客戶端JavaScript安全地發送到服務器JavaScript文件?沒有用戶能夠看到密碼?密碼已經哈希(通過PHP),但我不希望他們有那裏散列可以解密。將用戶名/密碼安全地傳遞給另一個JavaScript文件
//編輯
經進一步討論後我同意它是壞的任何地方發送散列密碼,除了它駐留在腳本。是否有另一種方式來唯一標識一個用戶,並通過JavaScript傳遞這些變量,所以我的服務器js文件可以驗證它們(沒有密碼)?
如果他們*解密散列,他們就會很有才華。 – alex 2012-02-15 06:18:48
沒錯,我在php中使用了sha512 hash中的salt,儘管我的任何用戶都能夠知道有什麼散列在我看來構成安全風險。 – 2012-02-15 06:21:15
儘管用戶知道自己的散列並不是什麼壞事(畢竟,每一個散列都用一個每個用戶都是唯一的salt),但如果這意味着要在其他地方進行身份驗證,那麼傳遞這個散列是不好的,除非您通過安全通道HTTPS傳遞它。 – Konerak 2012-02-15 06:23:12