Я реализует авторизацию в моем GWT приложения, и в настоящий момент это происходит следующим образом:GWT/Javascript на стороне клиента шифрования паролей
- пользователь подписывается, поставив свои учетные данные в форме, и Я отправляю их в ясный текст на сервер.
- Код сервера хэширует полученный пароль с использованием BCrypt и помещает хэш в базу данных.
- Когда пользователь входит в систему, его пароль отправляется с очисткой на сервер, который проверяет его на сохраненный хэш.
Теперь. Вещь, которая беспокоит меня об этом, заключается в том, что я отправляю пароль на сервер в ясном виде, я все время думаю, что я не буду очень доволен, если приложение, которое я использовал, делало это с помощью моего (use-for- все-типа), но шифрование его на клиенте на самом деле ничего не принесло бы мне, так как злоумышленники могли просто использовать хешированный пароль, так как они были бы ясными.
Я был googling весь день для этого, и кажется, что Интернет вполне единодушно, когда дело доходит до этого - видимо, от шифрования пароля на стороне клиента ничего не получится. This, this и this - всего лишь несколько примеров обсуждений и страниц, которые я привел, но есть много и много других, говорящих одно и то же.
Этот вопрос, в свете всего этого, может показаться немного ненужным, но я надеюсь, что у кого-то у меня будет другой ответ.
Что я могу сделать, , если SSL не вариант на данный момент, чтобы облегчить свое мнение по этому поводу? Есть ли что-нибудь, что можно сделать или будет внедрено какая-то схема шифрования-шифрования-сервера-сервера, просто будет трудоемкой слабой мертвой ногой?
Спасибо за обширный ответ, много полезных ссылок. Я ценю это! –
BTW: есть запросы CORS - cross-origin ... поэтому вы действительно сможете использовать решение only-for-login-ssl-server. К сожалению, я не знаю, были ли решены некоторые несовместимости в отношении разработчика запросов GWT и Internet Explorer (что означает, что все браузеры теперь поддерживают его при использовании «родной» GWT без изменений конструктора запросов). – user1050755