Я создаю приложение без сервера браузера (XULRunner-CherryPy), использующее HTTP для связи. Область, о которой я сейчас размышляю, - это аутентификация пользователя. Поскольку у меня нет существенных знаний в области безопасности, я бы предпочел использовать проверенные подходы и готовые библиотеки, пытаясь придумать и/или создать что-то самостоятельно.Современные методы проверки подлинности клиента/сервера
Я читал много статей в последнее время, и я могу сказать, что все, что у меня осталось, - это много разочарования, большинство из которых внесли this и this сообщения в блогах.
То, что я думаю, что мне нужно:
- Безопасное хранение паролей в базе данных (адаптивное хеширование?)
- Безопасная передача провода учетных данных пользователей (аутентификация SSL?)
- Secure лексема аутентификация для последующих запросов (не уверена об этом)
Итак, вопрос: каковы современные (не имеющие головной боли) техники и/или библиотеки, которые реализуют t его? (Никакая конфиденциальная информация, например номера кредитных карт, не будет сохранена).
Я смотрел на OAuth, и у них есть новая редакция, которую они настоятельно рекомендуют использовать. Проблема в том, что документы все еще находятся в разработке, и нет библиотек, реализующих новую редакцию (?).
Спасибо за ваши предложения. Похоже, что многоэлементное хеширование с достаточно длинными солями будет достаточно безопасным (даже если значения соли хранятся с хешированными паролями). – vit
Это звучит отлично, как система хранения для всех, кроме самых строгих требований. Помните, что будьте осторожны с тем, как пароли отправляются по всему телу, чтобы истечь идентификаторы сеансов людей при каждом входе в систему и все другие одинаково важные соображения безопасности, которые угрожают веб-аутентификации. – Clueless