我正在构建一款游戏,玩家可以为其创建帐户,你知道,标准方案。但是,我想在服务器端 (Node.js) 和客户端上仅依赖 Javascript。
我与服务器通信的主要方式通常是 Socket.io,我想以明文形式发送密码不是一个好主意 - 但我不知道为什么!我的意思是,有人可以嗅探流量之类的吗?这到底是怎么发生的?最重要的是,这个问题的解决方案是什么?
我知道我需要在服务器端将密码保存为哈希值。
最佳答案
简短的答案是 use HTTPS通过 creating your own SSL certificate 。
甚至 GMail 也没有 use HTTPS all the time 的选项直到 2008 年。我一直惊讶于我们仍然如此不关心安全。
说到这里,请对您的哈希密码加盐。加盐很容易...选择一个词,任何词。将其附加到密码并对其进行哈希处理。 (即 SHA1(密码 .mysalt))少数人拥有 some trouble with that recently 。添加一点盐至少可以防止简单的彩虹攻击。
关于javascript - 我应该如何将用户名和密码发送到服务器?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10936682/