我使用django作为应用程序的后端,由于某种原因我无法使用django(或DRF)请求系统,我需要提供使用我的服务器的功能。
每个用户都可以访问所有功能,但该功能根据用户的不同而不同,因此我必须有一些身份验证方法。
第一个选项是通过每个网址调用传递原始用户密码,我认为这不是安全的。
第二个选项是使用某种代码,客户端在握手后会得到这些代码并使用它。但我完全不知道如何实现这一点。
哪一个更好,我该如何保护它?
答案 0 :(得分:2)
最好的方法是使用所谓的密码腌制。您可能希望将所有密码字符串与随机生成的字符串连接起来。您希望所有密码的长度都相同。这是为了防止彩虹表攻击,攻击者使用哈希来确定密码的长度。在您的情况下,您可能希望使用选项2,并了解如何在您的身份验证系统中实施salting。