方案是:HASH + Salt
HASH + Salt 的操作也称为两次 HASH,其原理是:第一次 HASH 操作进行身份的初次鉴权,网站会返回一个随机数(Salt,盐值),客户端通过服务器返回的随机数以及协商好的规则进行第二次 HASH 操作,将操作结果发送给服务器,服务器也通过相同的方法进行操作,如果两次结果相同,那么就鉴权成功。
此种方式下,服务器也不存储明文密码,存储的是密码第一次 HASH 后的结果。即使该值被泄露,也不会泄露明文密码。
发起两次请求
1、明文传输用户名 例如:caoke
不存在-》登录失败
存在-》返回用户名的hash值。例如:1eea229fd1ea8ac0
2、对"用户名的hash值+密码"进行md5,产生hash,明文传输用户名、密码hash值。例如:md5("1eea229fd1ea8ac"+"123456") =838cfa0690f2198b
后端对用户名、密码hash进行比对
存在-》登录成功
不存在-》密码错误
传输过程中只会泄露:caoke、838cfa0690f2198b、838cfa0690f2198b,而不会泄露密码123456
注册过程也是这个方案
另一种方案
博客园用的是rsa的方式对用户名、密码加密传输,这也是一种方式 ,具体可以看看encryptjs库,前端传入公钥,加密,然后传输给服务器,服务器用私钥解密。