我正在构建使用HTTP进行通信的非浏览器客户端服务器(XULRunner-CherryPy)应用程序。我现在琢磨的区域是用户认证。由于我对安全性缺乏实质性知识,我更倾向于使用经过验证的方法和现成的图书馆来试图自己创造和/或构建某种东西。现代客户端/服务器身份验证技术
最近我一直在阅读很多文章,我可以说我留下的所有内容都是很多挫折感,其中大部分由this和this贡献。
我想我需要的是:
- 在数据库密码的安全存储(自适应哈希?)的用户凭证
- 安全有线传输(摘要式身份验证SSL?)
- 安全令牌验证后续请求(不知道这一点)
所以问题是:什么是现代(无头痛优先)技术和/或库实现t他? (不会存储敏感信息,如信用卡号码)。
我一直在看OAuth,他们有一个新的版本,他们强烈建议使用。问题是文档仍在开发中,没有实现新版本(?)的库。
感谢您的建议。看起来像多重迭代哈希与足够长的盐将足够安全(即使盐值与散列密码一起存储)。 – vit 2010-01-04 11:39:18
对于除最严格要求之外的所有应用程序,这听起来都不错。切记要小心如何通过线路发送密码,在用户登录时过期使用会话标识符,以及所有其他同样重要的安全考虑因素,这些都会影响Web认证。 – Clueless 2010-01-04 14:03:16