散列密码和通过Gmail发送邮件
散列密码(Hash Password)是一种将用户密码转化为不可逆字符串的加密方法。它通过将密码输入经过散列函数处理,生成一段固定长度的哈希值,这个哈希值通常用作密码的存储和验证。
散列密码的主要分类有以下几种:
- 单向散列函数(One-way Hash Function):将输入数据转化为固定长度的哈希值,常见的算法有MD5、SHA-1、SHA-256等。
- 带盐散列(Salted Hash):在密码散列过程中引入随机盐值,增加密码的安全性,常见的算法有bcrypt、scrypt等。
- 密钥派生函数(Key Derivation Function):通过在散列过程中引入密钥,增加密码的复杂性和安全性,常见的算法有PBKDF2、Argon2等。
散列密码的优势包括:
- 安全性:散列密码将密码转化为不可逆字符串,即使散列值泄露,也难以还原出原始密码。
- 高效性:散列函数的计算速度通常很快,可以快速生成和验证密码的散列值。
- 适用性:散列密码广泛应用于用户认证、密码存储、数字签名等领域。
散列密码在云计算中的应用场景包括:
- 用户认证:网站和应用程序通常会将用户密码进行散列存储,以保护用户账户的安全。
- 数据完整性验证:散列密码可以用于验证数据在传输过程中是否被篡改,常见的应用是数字签名。
- 密码重置:当用户忘记密码时,可以通过散列密码的方式生成一个临时密码或重置链接。
腾讯云提供了一系列与散列密码相关的产品和服务,包括:
- 云服务器(CVM):提供可靠的云服务器实例,用于部署和运行应用程序。
- 云数据库MySQL版(CDB):提供高性能、可扩展的MySQL数据库服务,可用于存储用户密码的散列值。
- 云安全中心(SSC):提供全面的安全管理和威胁检测服务,帮助保护用户数据的安全性。
- 云存储(COS):提供高可靠、低成本的对象存储服务,可用于存储散列密码相关的数据。
更多关于腾讯云产品的详细介绍和使用指南,请访问腾讯云官方网站:腾讯云。
相关·内容
我最近为我的谷歌帐户设置了“两步验证”。
其中一个功能是为不支持2步进程的设备创建“特定于应用程序的密码”。(安卓、BlackBerry或iPhone等智能手机上的应用;Microsoft等邮件客户端;Google或AIM等聊天客户端)
📷
当您创建这些密码之一时,Google告诉您“空格”并不重要。
📷
这是否意味着…
密码是以明文发送的,因此它们可以去掉另一端的空格(我知道邮件客户端可以这样做,但是谷歌的产品,比如Gmail、Calendar或ActiveSync)
他们使用的散列方法去掉了空格(但是他们无法控制第三方产品哈希)
它们在其端存储两个密码哈希,一个带有空格,另一个没有(如果是
浏览 0提问于2012-01-17得票数 11
我最近注册了一家公司的产品,并迅速收到一封电子邮件,确认我的注册,显示我的电子邮件地址和密码。我不是安全专家,但这对我来说是个巨大的危险信号。执行了一些谷歌搜索,我认为发送密码作为明文没有任何好处。这包括之前security.stackexchange.com发布的一个类似的问题,但是它是几年前被问到的,所以我不知道安全性是否发生了变化。
📷
我正要给他们发一封电子邮件,差点骂他们,问他们为什么要发电子邮件密码,但我记得看到邮件是TLS加密的。所以我在gmail中检查了一下电子邮件,果然,TLS是加密的。
读到特易购的黑客攻击,我知道公司知道密码是什么这一事实仍然存在问题。根据我所读到的,密码
浏览 0提问于2021-08-24得票数 0
回答已采纳
3回答
我有散列密码功能在我的网站,当用户注册,密码是在数据库中哈希。我还设法通过那个散列密码登录。但是,我添加了一个忘记密码功能。它的工作正常(发送密码给用户电子邮件),但密码仍然是哈希?有什么你可以分享的窍门吗?
这是我忘记的密码:
protected void SendEmail(object sender, EventArgs e)
{
string username = string.Empty;
string password = string.Empty;
string constr = ConfigurationManager.C
浏览 0提问于2015-07-19得票数 1
回答已采纳
3回答
要授权用户,我们的应用程序定义如下步骤:
通过HTTPS发送用户电子邮件和密码(纯文本)。
当服务器接收到它时,生成一个salt来散列密码并存储它。
当用户想要登录时,用salt验证密码。
为了更容易地撤销用户密码,我选择在服务器上生成一个salt。但是我的同事认为在密码发送到服务器之前,应该先对客户端进行散列。
我的问题是,如果我们在客户端散列密码,它将使密码更安全。但是我们仍然把盐传送到服务器,否则我们就无法证实它。如果有人得到这个盐,密码仍然是不安全的。我怎样才能保护这个请求?
浏览 0提问于2019-06-27得票数 0
3回答
问题:
如何在不需要安全问题、D.O.B或任何其他参数的情况下验证谁正在重置密码?
上下文
在许多网站上,当请求重新设置密码时,会将随机散列附加到数据库中的用户名。此散列作为URL的一部分发送给用户。当用户单击电子邮件链接时,他们被发送到可以选择新密码的页面。这里的问题是,用户可以在这个“设置新密码”页面上输入任何电子邮件地址,并为该帐户设置一个新密码。那么,如何验证用户是否真正拥有他们设置新密码的帐户?
我认为包含随机散列的URL应该与新密码一起作为参数发送,因为密码只有在哈希匹配时才能设置。但是,这不起作用,因为$_GET‘散列’变量只存在于set密码页上,该页面是从电子邮件中链接的。一旦
浏览 0提问于2013-01-06得票数 0
回答已采纳
1回答
我试图设置我们的网络服务器,以便它可以发送电子邮件从各种网络应用程序重置密码等。我们的邮件是由Gmail托管与一个自定义的域名。mydomain.com。
现在,发送到不同域名的电子邮件就会出现在邮件队列中。发送到someuser@mydomain.com的任何东西甚至都不能进入队列。
如何通过Gmail路由SMTP服务器?
This is what I've added to `/etc/postfix/main.cf`
relayhost = smtp.mydomain.com:587
smtp_tls_security_level = verified
smtp_tls_man
浏览 0提问于2016-06-20得票数 0
回答已采纳
1回答
我正在学习python,所以我想我会尝试制作一个脚本,自动为我发送gmail电子邮件。
它需要发送登录和密码到我的gmail帐户,以自动发送一些电子邮件给我。
我在这里读了一些指南,看来passlib是个不错的选择。但我还是有点困惑该如何设置它。
我使用passlib加密我的密码。
结果将存储在我的linux中的一个隐藏文件中。
当脚本运行时,它需要解析我的vm上的隐藏文件,以获得被追踪的密码。
这就是我困惑的地方,我认为我需要解密它,然后再发送出去?这不是很不安全吗?或者我可以不加解密地发送它,希望gmail能解密它?
我正在使用SMTP库。
server = smt
浏览 4提问于2016-12-09得票数 1
回答已采纳
2回答
假设我有一个API调用,它应该检查DB中是否存在电子邮件地址,而不发送实际的电子邮件地址。为此,我决定将电子邮件地址的SHA256散列存储在DB中,并更新客户端以在API调用中发送电子邮件的SHA256散列(而不是纯文本电子邮件地址)。
在计算散列时,如何使用salt使其更安全?
根据我的理解,有固定的盐和完全不吃盐几乎是一样的。有任何方法,我可以有唯一的盐每个电子邮件地址,但以这样的方式,服务器和客户端都可以计算他们?
像这样的事有意义吗?如果没有,你能解释一下原因吗?
salt = sha256(email)
email_hash = salt + "|" + sha256
浏览 0提问于2018-06-29得票数 0
回答已采纳
我想从服务器发送电子邮件,但也使他们无法跟踪我作为服务器所有者或攻击者。我希望这是为了GDPR,但也是为了保护人们免受虐待。
关于服务的简短信息:我是个人服务的提供者,而不是公司。电子邮件将与产品(邀请和服务内容)捆绑在一起,与0营销,将有速率限制,防止垃圾邮件,电子邮件将只由实际用户触发,用户将不能仅仅发送任何电子邮件,而是使用特定的模板,非用户也将收到电子邮件(邀请)。
仅仅存储带有一个全系统盐值的散列和盐渍的电子邮件就足够了吗?我主要关心的是非用户,因为我不能得到他们的同意,然后才发邮件给他们。因此,我可以提供一种方法来阻止滥用者或我的服务器上的所有电子邮件,只需存储散列和盐渍的电子邮件
浏览 0提问于2021-01-29得票数 0
回答已采纳
2回答
我想在程序中做Forgot your password?,我已经可以从数据库中检索用户名和密码,并将其发送给电子邮件用户(我使用自己的电子邮件作为用户),但我在电子邮件上得到的仍然是实际存储在数据库中的散列密码(不是散列前的实际密码),而且一旦我无法知道如何检索实际的密码,我得到的是假密码(boolean)或散列密码。
你们能帮帮我吗?
下面是我使用的代码:
下面的代码用于检索信息: (SystemManager类)
public static void RecoverMember(string _value1, string _selectedIndex, string _value2, F
浏览 5提问于2014-10-30得票数 0
回答已采纳
1回答
对于一个存储使用password_hash php函数散列的密码的网站,我正在考虑以下方法,使用户能够重置他们的密码,但我不知道它是否造成了任何安全漏洞:
用户使用电子邮件/用户名组合填写表单
表单检索此用户的散列密码并通过电子邮件发送
用户使用其散列密码和新密码填充表单。
数据库使用新密码更新。
这似乎确保只有访问帐户所有者的电子邮件的人才能更改密码
浏览 0提问于2017-09-30得票数 0
1回答
我有一个联系人表单,当单击提交按钮时,将发送一封电子邮件给联系我和我本人的人,以便进行后续工作。当我将我的真实密码(硬编码)传递给我的Mailer函数时,邮件就会被发送出去。我使用Gmail发送邮件,并将散列密码存储在数据库中。散列按预期方式工作。我也可以找回密码。 但是使用散列密码时,我会得到一个错误(这是正常的,因为错误的凭据-身份验证失败)。不知何故,我需要将未经过哈希处理的密码传递给我的Gmail。 有谁有什么想法或建议吗?
浏览 13提问于2020-06-24得票数 0
回答已采纳
5回答
我有这样的想法,不是生成密码重置令牌并将其发送给用户,我只是将用户的散列密码发送给他们。然后在重置后,用户将以纯文本提交旧的散列密码和新密码。服务器将比较提交的散列密码和存储的散列密码,如果它们匹配,则重置。
这可能有一些好处,包括在重置电子邮件上没有过期时间,也不需要存储/过期重置令牌。
这会对安全产生什么样的负面影响?
浏览 0提问于2017-08-27得票数 2
回答已采纳
4回答
对于用户验证邮件,我想向用户发送一封电子邮件,其中包括基于用户id的安全散列和随机生成的salt。然而,php的所有函数都是针对密码哈希的,因此将salt存储在哈希中以进行密码验证。因为我打算向用户发送这个散列,所以没有必要这样做。
我知道md5函数,它不包括salt,但我认为md5哈希是不安全的。
有没有任何方法在php中散列一个字符串(最好用一行代码),然后返回一个没有盐分的纯散列?
浏览 3提问于2014-06-26得票数 0
回答已采纳
5回答
当密码被散列时,重置用户密码的最佳方法是什么:
将密码重置为随机字符串,并将该字符串发送到他们的挂号邮件?为重置密码创建一个唯一的散列链接,该链接有效一个小时,并将该链接发送到邮件?还有其他方法?。
浏览 10提问于2009-12-03得票数 4
回答已采纳
因此,我只是在考虑从devise (rails gem)中安装token_authenticatable,我突然想到了这个想法:
在将用户名/密码发送到服务器之前,我们可以通过使用javascript对用户名/密码进行散列来加强网络安全吗?
显然,我们应该始终使用SSL,但即使SSL也容易受到MITM攻击,如果web服务器存储用户名和密码的哈希,而不是密码,那么即使恢复了用户的登录哈希,它也只能在一个网站上工作,这不是更安全吗?对吗?
因为让我们说joeshmoe有他的gmail帐户,用户名是mrjoeshmoe1996@thegmail.com,密码是joeshmoe。现在,Shmoe先生与
浏览 0提问于2013-09-22得票数 1
回答已采纳
3回答
我正在构建一个webmail客户端(比如gmail)。它允许用户浏览并发送电子邮件。在外壳下,php使用IMAP和SMTP与电子邮件服务器对话。
用户->user服务器->邮件服务器
当用户想使用我的webmail时,webserver会要求邮件服务器的凭据。当webserver需要连接mailserver时,mailserver请求提供用户提供的凭据。
因此,通过这个网络邮件,您可以连接到任何您喜欢的邮件服务器。Gmail,雅虎,你的私人邮件服务器等等。就像圆形立方体,松鼠邮件。
所以我有两个层次的认证。关于用户->user服务器部分,有一个会话已经到位。然而,我对webs
浏览 0提问于2015-02-10得票数 3
4回答
我正在开发忘记密码功能。
用户在忘记密码页面上输入他们的电子邮件地址,然后哈希令牌链接将通过电子邮件发送。
令牌将如下所示:
http://www.domain.com/account/resetpassword/4u240238402348239048092384908239080
如果用户单击该链接,则它将从用户users表中搜索散列令牌。如果找到,则显示文本字段以更改密码。
我将使用hash("sha256",...)函数来生成散列。
散列应该如何存储在users表中?
我需要添加像"reset_hash“和"reset_date”这样的字段吗?
浏览 0提问于2011-11-01得票数 2
回答已采纳
我在考虑发送一封使用md5密码作为令牌的电子邮件,并在显示恢复密码表单之前检查email+password是否正确
1)用户输入邮件
2)如果存在邮件,发送邮件给,并以密码为令牌
3)用户点击链接时:检查邮箱和md5密码是否正确,如果正确:
4)显示密码生成器窗体
-编辑-
那么,如果不向用户表中添加任何列,如何才能更安全呢?
浏览 2提问于2012-02-27得票数 1
回答已采纳
8回答
如果密码存储为哈希值,用户是否可以请求将其密码通过电子邮件发送给自己?
有没有办法将散列值转换为具有正确信息(&您需要什么信息)的明文值?
如果用户在两个站点上存储了相同的密码哈希值,那么他们的密码在两个站点上是否相同?
浏览 2提问于2009-06-18得票数 6
回答已采纳
3回答
PHP中的电子邮件验证
、、、
此时,用户可以在我的网站(username, password, email)上创建一个帐户。
这将在数据库中创建一个条目,该条目存储用户名、密码哈希和电子邮件入口,并将用户级别设置为0。在此之后,它将发送一个包含用户id的url和散列密码的新散列的电子邮件。
$emailhash = password_hash($passwordHash, PASSWORD_BCRYPT, $options);
$url = "domain/validation.php?id=$id&hash=$emailHash";
在url指向的验证页面上,它将使用散列密码作为密码,并使用电子邮
浏览 4提问于2017-07-22得票数 3
回答已采纳
Imports System.Net
Imports System.Net.Mail
Public Class Form1
Sub sendMail()
Try
Dim AnEmailMessage As New MailMessage
AnEmailMessage.From = New MailAddress(some email address)
AnEmailMessage.To.Add(some email address)
AnEmailMessage.Subject = ("ho")
浏览 0提问于2011-08-15得票数 0
回答已采纳
1回答
通常,在后缀,我们将保留我们的帐户的用户名和密码的/etc/postfix/sasl_passwd纯文本格式。能把它弄碎吗?
因为当我们通过gmail发送时,它会给我们一个唯一的密码,而不是原始的密码。但从前景来看,我认为这种选择并不存在。我知道有一种方法是改变文件的权限。但我想知道散列是否可行?
谢谢
浏览 0提问于2017-05-18得票数 1
1回答
密码重置URL策略
、、、
为我们正在开发的“忘记您的密码”功能设计了一个新的流程,我遇到了一个具有挑战性的问题,涉及到URL以及前端和后端开发人员之间必须做出的承诺。
虽然这不是问题的重点,但我认为这是为了更好地理解读者。
请求重设电子邮件(前端)
无论给出的电子邮件是否存在,发送响应确定(后端)
生成一个随机重置-散列(如果一个没有出现&没有过期,以避免垃圾邮件)(后端)
发送重置链接@user的电子邮件(后端)
使用密码重置表单重定向到URL (前端)
这就是问题的关键所在。
需要将哪些信息(带有URL)发送到前端,以便前端知道需要返回哪些用户标识符?
我的第一个想法是,前端需要将新用户的密码与电子邮件中的
浏览 0提问于2018-11-08得票数 3
回答已采纳
我在Drupal 7上使用SMTP模块(7.x-1.0),这个站点托管在我安装了LAMP的云服务器上。我的SMTP配置设置是:
SMTP服务器: smtp.gmail.com
SMTP端口: 465
使用加密协议: SSL
用户名: example@gmail.com
密码:密码
电邮地址: example@gmail.com
当我试图发送一封测试邮件时,我在"Reports >最近的日志消息“中得到两条消息和一个错误:
已经向example@gmail.com发送了一封测试电子邮件.您可能需要检查日志中的任何错误消息。
无法发送电子邮件。如果问题仍然存在,请与网站管理员联系。
浏览 0提问于2014-04-11得票数 2
回答已采纳
我发送电子邮件使用Gmail的SMTP服务器从“帐户Beta”到“帐户阿尔法”。当我创建帐户Beta时,我将帐户的名称设置为" Account“,并将其姓设置为"Beta”。然后我手动发送电子邮件到帐户Alpha,从它添加Beta到Alpha的联系人,输入相同的名字和姓氏,甚至输入一个昵称“帐户Beta”。
如果我手动发送电子邮件从Beta到Alpha,“从”字段显示帐户Beta“正确。但是,如果我通过代码发送它,它只显示帐户beta的电子邮件。
这是我的密码:
try
{
var client = new SmtpCli
浏览 1提问于2020-02-27得票数 0
回答已采纳
6回答
如何安全地存储散列?
、、、、
当用户想要重新设置密码时,就会发送带有唯一URL的电子邮件,这样他就可以重新设置它。像这样: website.com/forgot.php?email'.$email.'&hash='.$thehash
$thehash是存储在数据库中的每个用户的唯一哈希。
问题是,$thehash存储在数据库中的方式与它在URL中的使用方式相同。这就像用纯文本存储密码一样愚蠢。如果有人可以访问数据库,那么我的密码与sha512和安全盐一起存储并不重要,攻击者可以使用数据库中的所有值(电子邮件和散列)访问所有帐户,并为用户更改密码。
当我对用户密码进行散列时,用户有一部分信息在
浏览 7提问于2014-03-24得票数 0
回答已采纳
1回答
我有许多不同的系统发送给我电子邮件地址,但我实际上不需要潜在的电子邮件,只是一个散列的电子邮件地址。我知道我可以比较散列值,以在发送者之间找到匹配,这就是我想要做的,但是如果每个发送系统使用不同的salt或hash方法,该怎么办?有什么方法可以比较我的结果哈希值吗?
例如:发件人1用sha1给我发电子邮件,没有盐。发件人2使用md5和salt (他们也发送)向我发送电子邮件地址。
我能用md5(sha1)和sha1(md5)来比较哈希输出吗?还是需要指定所有电子邮件都应该使用相同的方法进行散列处理?是否有更好的方法可以让每个发件人选择他们想要使用的散列方法,但仍然允许我比较不同发件人的电子邮件
浏览 0提问于2013-02-02得票数 1
回答已采纳
我正在使用java mail api发送电子邮件,我需要知道在开发环境中用于发送测试电子邮件的参数如果我想使用smtp.gmail.com作为smtp邮件服务器,它有465端口-在互联网上可以找到,我是否需要设置用户名和密码的true身份验证或authentication=false好吗?另外,如果authentication=true是必需的,那么用户名和密码是我的gmail用户名和密码吗?
另外,如何设置邮件中的抄送和密件抄送地址?
寻找最基本的发送电子邮件的方式,以感谢开始
浏览 2提问于2012-03-08得票数 0
回答已采纳
我想把这封电子邮件发送给将包含url+hash的用户,就像这样
www.mywebsite.com/user/verify/121#$%3h2%^1kj3#$h2kj1h%$3kj%$21h
并对数据库中的用户保存此散列,如下所示
ID :电子邮件哈希1@ youremail@gmail.com |121#$%3h2%^1kj3#$h2kj1h%$3kj%$21h
当用户收到电子邮件时,它应该检查和比较散列,并根据情况执行操作。
我的问题很简单,如何为每个用户生成唯一的散列以及如何将它们存储在数据库中。
浏览 4提问于2017-06-21得票数 2
我制作了一个系统来验证用户注册,邮件被发送到他们的电子邮件,当点击邮件中的链接时,帐户被激活。我的问题是,当尝试使用电子邮件和输入密码登录时,它会抛出一个错误,但当我将10个字符的随机字符串散列密码复制到密码输入中时,它将获得访问权限。我的问题是:“如何使输入密码与散列密码匹配?”.我试着把剧本贴在这里,但我不知道这到底是怎么做到的
提前谢谢!
浏览 1提问于2014-03-22得票数 2
回答已采纳
1回答
我通过电子邮件登录我的应用程序
首次登录/注册
客户端
输入密码
计算md5散列
md5散列存储在密钥链(clinet上的安全位置)中。
md5散列被发送到服务器(HTTPS)
服务器
采用md5散列密码,并使用带盐的bcrypt存储密码。
发回通信令牌
客户端
列表项目
使用令牌,直到它过期。
自动重新登录
客户端
从密钥链中提取md5散列
发送到服务器(HTTPS)。
手动重新登录
客户端
用户再次输入密码
计算(并存储) md5散列。
md5被发送到服务器..。
但是,我阅读的文章将密码作为原
浏览 5提问于2014-02-06得票数 1
回答已采纳
7回答
例如,如果用户启用了JavaScript,我们发送散列他的密码并发送散列。如果不是,我们发送未散列的密码和一个标记它未散列的标志。然后我们构建散列(如果它是未散列的),并将其与存储的散列进行比较。
这似乎是安全和简单的。为什么它不是一种流行的发送密码的方式?我错过了什么吗?
换句话说:为什么丢失散列密码比不散列密码更好?(我想我们大多数人在很多网站上只有很少的密码)
浏览 2提问于2009-10-02得票数 1
回答已采纳
1回答
我在互联网上到处寻找解决这个问题的方法,却找不到解决问题的办法。真的开始放弃了。
因此,基本上,每当我用正确的电子邮件和正确的密码登录时,它就会说不正确的电子邮件或密码。只有当我在db中散列密码时,才会发生这种情况。
电子邮件:test@gmail.com
密码:测试测试
$2y$10$hk3d/GyYvImcxYR.vdC2/.JDIeQeXyKdTSPifueAkQNrYVBcMn1Yi Hash:
无论如何,如果有人能帮助我,这将是令人惊奇的,这里是我的login.php代码。
<?php
require "../private/php/autoload.php&#
浏览 0提问于2021-10-22得票数 1
3回答
我想创建一个脚本,将大约100个用户插入到Drupal6数据库中--他们的用户名、邮件和密码散列。
在阅读了Drupal6使用的PHP类之后,我不确定我是否能做到这一点。我的方法是向每个用户发送一封邮件,比如"Hello,x!您的新密码是y",然后将散列的"y“插入到Drupal的用户表中。
我知道Drupal返回一个md5。但它不仅仅是MD5的原始密码,而是一个非常混乱的密码(使用salt和其他方法)。
我已经研究了 Drupal的使用,但我认为它不仅仅适用于copy+paste方法。
因此,我的问题是:我能否创建一个返回有效Drupal6密码散列的PHP函数,以将其
浏览 2提问于2010-10-09得票数 7
回答已采纳
1回答
用于发送邮件的Gmail身份验证
、、、、
用户将输入Gmail帐户id和密码在我的网页,这将由谷歌认证。我需要密码,因为我想发送电子邮件使用协议。
我可以使用google用户身份验证,但我仍然需要发送电子邮件的密码。
我该怎么办?
浏览 8提问于2017-04-25得票数 1
回答已采纳
我使用以下代码..。
$mail = new PHPMailer();
$mail->IsSMTP(); // send via SMTP
$mail->SMTPAuth = true; // turn on SMTP authentication
$mail->Username = $USR_EMAIL; // SMTP username
$mail->Password = $MAIL_PWD; // SMTP password
我想问几个简单的问题。有没有办法将以md5格式保存在数据库中的密码传递给ph
浏览 3提问于2012-06-20得票数 1
回答已采纳
1回答
我在当前的项目中使用phpass,该项目的一部分处理密码检索,所以我想知道的是:是否可以使用使用phpass散列的密码解压缩密码,以便发送(通过电子邮件)或更改?
浏览 0提问于2013-01-11得票数 0
使用firebase的注册页面在网络选项卡中显示用户名和密码。我是否可以更安全地将用户信息发送到防火墙(比如散列用户信息)。
在firebase ( )中,已经提到电子邮件和密码将作为字符串发送!不确定这是一种安全的方式,还是还有什么我在这里遗漏的东西。
浏览 2提问于2021-09-09得票数 0
回答已采纳
想象一下,一个连接到API服务器的移动应用程序。
免责声明
我不确定RSA是否是正确的技术,请随意推荐替代方案。
目标
后端/数据库超级用户不应该能够识别用户提交的个人数据(电子邮件除外)(在本例中是个人跟踪器数据),而用户应该能够以明文读取该数据。在手机丢失的情况下,用户只需使用电子邮件和密码,就可以在不引起他注意的情况下检索他原来的RSA密钥。除此之外,我们还希望能够通过在注册时向用户发送电子邮件来验证用户。
我的想法
用户下载应用程序,应用程序生成本地RSA密钥。
用户在应用程序上注册,提供强大的密码和电子邮件地址进行验证,并通过https:发送给服务器。
散列密码(Bcrypt,sal
浏览 0提问于2023-04-18得票数 1
2回答
我不理解存储/处理密码的一些概念。
例如,我们的网站为移动应用程序(iOS、安卓等)提供了一个公共应用程序接口,并提供了身份验证。
毫无疑问,我们不能在数据库中存储原始密码,也不能在客户端和服务器之间发送原始密码,所以我们使用哈希和盐。
这样,我们在客户端加密密码,并将散列发送到服务器。但是,如果“黑帽”窃取了密码散列,并用它向服务器api进行身份验证,该怎么办?
我应该在客户机上散列密码,发送散列,然后在服务器上再次散列它们吗?
这个问题的常见解决方案是什么?
非常感谢,提前。
浏览 2提问于2014-03-06得票数 1
1回答
我已经通过gmail实现了发送电子邮件的支持,一切都很好。但是这段代码似乎很奇怪,因为例如,客户要求程序员通过gmail提供电子邮件支持,当它完成后,程序员会将源代码连同程序一起交给客户。当客户打开它(源代码)时,客户将知道用于提供电子邮件支持的电子邮件以及密码。我怎么才能防止这种情况?有什么好的解决方案,使电子邮件的支持,而不泄露电子邮件密码的源代码?
下面是我使用的代码:
public void SendRecoverCredentials(string _to)
{
try
{
SmtpClient _smtp = new
浏览 2提问于2015-01-28得票数 0
回答已采纳
我想使用gmail smtp服务器在用户创建帐户时发送欢迎电子邮件。欢迎电子邮件必须通过我的gmail id发送,而不能在身份验证部分提供我的电子邮件地址和密码。我的代码在这里..
var nodemailer = require('nodemailer');
var transporter = nodemailer.createTransport({
service: 'gmail',
auth: {
user: '*****@gmail.com',
pass: *****
}
});
var mailOpt
浏览 1提问于2020-01-21得票数 0
1回答
我有一个发送电子邮件的Python3程序。它从配置文件中读取变量,其中之一是发送电子邮件的电子邮件帐户的密码。现在,它是明确的文本,但它不应该,所以我正在寻找一个方法来隐藏它。
我考虑直接编写将md5应用于密码的结果,例如:
password = 'write_here_the_password_encrypted'
但下列代码不起作用:
server = smtplib.SMTP('smtp.gmail.com:587')
server.starttls()
server.login(username, password)
server.sendmail(fr
浏览 2提问于2014-06-04得票数 1
回答已采纳
有一个现有的用户数据库,其列如下:
userId (v4 uuid)
创建时间戳
bcrypt密码散列
电子邮件
我必须添加密码重置功能,并且不能向表中添加任何新列。因此,我的计划是实现以下流程:
用户触发密码重置
服务器在X分钟内给JWT令牌发送电子邮件,并声明如下: passwordResetToken=bcrypt(,和sub=userId 10)。
用户打开链接,键入新密码,并将其与JWT令牌一起发回。
服务器验证JWT令牌签名、过期时间和基于userId的令牌加载用户信息,并根据数据库中的当前用户状态检查passwordResetToken是否与计算的信息匹配。
这个流应该是为了防止
浏览 0提问于2021-02-15得票数 1
回答已采纳
2回答
我发现了很多关于客户端散列的帖子,但没有一个能完全回答我的问题。
我想在客户端散列用户密码,这样我就不必在web上发送纯文本密码,但我有一个问题,当我使用salt时,我如何才能成功做到这一点。
验证密码的正常过程是..1)用户输入用户名和密码2)根据用户名恢复盐3)散列密码和盐4)根据数据库检查散列
如果所有这些都发生在服务器上,这没什么大不了的,但如果你在客户端,就会变得很复杂。2)必须是对服务器的回调,同时在某个地方维护密码(不张贴密码),所以..ajax?这是最好的方法吗?还是我错过了什么?
提前感谢!
浏览 1提问于2009-11-01得票数 1
2回答
在我的情况下,会发送一封电子邮件( 1.重置密码时,2.在API和UI测试期间添加一个新成员)。我如何访问这些电子邮件,而不实际登录到我的邮件手册和访问内容,以便我可以添加到测试和验证?
测试结果如下所示。
用户可以重置密码。
邮件被触发。
用户使用邮件中的链接重置密码。
用户再次使用新密码登录。
第二次测试。
管理员添加了一个成员。
管理员添加了一个新成员,并收到一封关于确认的邮件。
确认发送到新成员电子邮件的邮件。
希望能在这里提供任何帮助。
我试图调查第三方,但似乎我需要使用他们的电子邮件帐户,我希望有人能帮助我处理Gmail(访问Gmail的
浏览 12提问于2022-07-27得票数 1
3回答
我正在尝试了解在web应用程序中需要发送哪些信息。基本上,我有一个运行在web服务器上的web应用程序,一个数据库,其中有一个带有散列密码和盐的用户表,当然还有一个启用了javascript的web客户端。
当用户在登录时登录时,在客户端输入用户名和密码。我想知道发送了什么信息。web客户端是以纯文本形式发送密码,还是使用javascript在没有盐的情况下对密码进行散列并发送散列后的结果?或者客户端是否从服务器获取纯文本形式的salt,然后客户端发送散列的password+salt?
散列和用盐散列的最好方法是什么?MD5可以作为散列吗?散列( password_plain_text + s
浏览 6提问于2011-06-08得票数 3
回答已采纳
我正在后台发送一封带有固定gmail电子邮件地址(公共静态最终字符串email = "abc@gmail.com“和固定密码(公共静态最终字符串密码= "abcd”)的电子邮件。现在我想改变这一点。用户应该能够更改电子邮件地址,并发送电子邮件与他的个人一个。
不幸的是,我的研究并不是那么成功。
如有任何帮助,我们不胜感激!
提前感谢!
浏览 0提问于2016-05-23得票数 0
登记册:
如果用户输入密码的两个文本框匹配,则进行比较:
将用户的电子邮件添加到数据库中的用户表中,以便有一个用户ID,以便稍后记录所有针对的内容。
制造盐。任何足够随机和足够复杂的东西都足够了。UserName+current dateTime - MD5哈希。GUID,UserName +随机数散列等。
将salt记录在DB中的Salt表中,旁边是用户ID和名称。
将用户密码和salt添加到一起。
使用Encryption1的散列
使用Encryption2的散列
在登记表中记录用户ID和他们提供的详细信息(如果有的话)。
可选的电子邮件验证发送出去,以确保他们使用的是合法的电子邮件。
登
浏览 0提问于2017-11-01得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
