某些限制下的用户身份验证
User authentication under certain restrictions
我正在使用 django 作为应用程序的后端,由于某些原因我不能使用 django(或 DRF)请求系统,我需要提供使用我的服务器的功能。
每个用户都可以访问所有功能,但该功能因用户身份而异,因此我必须有某种身份验证方法。
第一个选项是在每次 url 调用时传递原始用户密码,我认为这不安全。
第二种选择是使用客户握手后获得的某种代码并使用它。但是我完全不知道如何实现这个。
哪个更好,我该如何保护它?
最好的方法是使用所谓的密码加盐。您可能希望将所有密码字符串与随机生成的字符串连接起来。您可能希望所有密码最终都具有相同的长度。这是为了防止攻击者使用散列来确定密码长度的彩虹 table 攻击。在您的情况下,您可能希望使用选项 2 并了解如何在您的身份验证系统中实施加盐。
我正在使用 django 作为应用程序的后端,由于某些原因我不能使用 django(或 DRF)请求系统,我需要提供使用我的服务器的功能。
每个用户都可以访问所有功能,但该功能因用户身份而异,因此我必须有某种身份验证方法。
第一个选项是在每次 url 调用时传递原始用户密码,我认为这不安全。
第二种选择是使用客户握手后获得的某种代码并使用它。但是我完全不知道如何实现这个。
哪个更好,我该如何保护它?
最好的方法是使用所谓的密码加盐。您可能希望将所有密码字符串与随机生成的字符串连接起来。您可能希望所有密码最终都具有相同的长度。这是为了防止攻击者使用散列来确定密码长度的彩虹 table 攻击。在您的情况下,您可能希望使用选项 2 并了解如何在您的身份验证系统中实施加盐。