我正在运行Socket.IO,并通过mysql查询(在js中运行)确认用户名和密码,服务器部分工作良好。我的问题是:是否有可能将客户端的用户名/密码从客户端JavaScript安全地发送到服务器JavaScript文件?没有用户能够看到密码?密码已经哈希(通过PHP),但我不希望他们有那里散列可以解密。将用户名/密码安全地传递给另一个JavaScript文件
//编辑
经进一步讨论后我同意它是坏的任何地方发送散列密码,除了它驻留在脚本。是否有另一种方式来唯一标识一个用户,并通过JavaScript传递这些变量,所以我的服务器js文件可以验证它们(没有密码)?
如果他们*解密散列,他们就会很有才华。 – alex 2012-02-15 06:18:48
没错,我在php中使用了sha512 hash中的salt,尽管我的任何用户都能够知道有什么散列在我看来构成安全风险。 – 2012-02-15 06:21:15
尽管用户知道自己的散列并不是什么坏事(毕竟,每一个散列都用一个每个用户都是唯一的salt),但如果这意味着要在其他地方进行身份验证,那么传递这个散列是不好的,除非您通过安全通道HTTPS传递它。 – Konerak 2012-02-15 06:23:12