0
我在理解如何保護REST API方面存在一些問題。 當客戶註冊時,密碼被散列並通過HTTPS發送到服務器。 然後,服務器存儲哈希(密碼+ privatesalt)。使用簽名保護REST API
當客戶端使用休息服務時,他使用自己的密碼創建了請求和簽名HMAC-SHA1(如here)。 服務器端,如何在數據庫中對密碼進行散列醃製時如何簽名與客戶端簽名進行比較的請求?
我知道數據在網上顯示清楚,但我只想驗證用戶。
我在理解如何保護REST API方面存在一些問題。 當客戶註冊時,密碼被散列並通過HTTPS發送到服務器。 然後,服務器存儲哈希(密碼+ privatesalt)。使用簽名保護REST API
當客戶端使用休息服務時,他使用自己的密碼創建了請求和簽名HMAC-SHA1(如here)。 服務器端,如何在數據庫中對密碼進行散列醃製時如何簽名與客戶端簽名進行比較的請求?
我知道數據在網上顯示清楚,但我只想驗證用戶。
你說得對。如果密碼被存儲在服務器端的鹽漬散列&中,則無法驗證在請求上計算的HMAC:MAC需要客戶端和服務器之間的共享密鑰。
有些解決方案可能是: