使用sha256登录令牌

作者: 楊♡
发布时间: 2024-01-10 06:07:10 (5月前)
转自：

3 条回复

0#
回复此人
Moso31 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 正如@Rook所说，您应该使用HMAC来验证您的令牌。 </p> <P> 此外，您需要确保您的令牌不会被盗。例如，如果您将该令牌以明文形式从站点1发送给用户，或者从用户发送到站点2，任何收听的人（想想Firesheep）也可以“证明”他们拥有一个帐户。您可以做的最好的事情就是使用SSL / TLS。 </p> </DIV>

编辑
1#
回复此人
我头上有犄角 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 你可以使用 <a href="http://en.wikipedia.org/wiki/HMAC" rel="nofollow"> HMAC </A> 在已经拥有共享密钥的两方之间提供经过身份验证的消息。你所描述的与HMAC非常相似，因为它是一种消息认证码。虽然我实际上会使用HMAC函数来执行此操作。 </p> <P> 要破解hmac，您必须使用身份验证代码（消息的散列部分）来暴力破解。攻击者知道时间戳，因此他们可以继续猜测秘密。只是让秘密变得非常庞大且非常随机，就像/ dev / random的一些输出是一个不错的选择。 </p> </DIV>

编辑

登录后才能参与评论