我使用的是Ionic 2客户端和Java服务器(Java8),它们具有RESTful服务。当用户当前登录时,我从客户端向RESTful Service发送请求。这将javascript Person
对象传递给java Person
对象。
问题1
这是否表示密码未公开?是吗?
问题2
一旦服务器接收到Person
对象,它检索password
字符串并将其保存到MySQL数据库。
我想加密这个密码,所以当有人看到数据库时,他们无法读取密码。然后,当从数据库中读取时,我需要再次解密它。
谁能给我推荐一下解决以上两个问题最简单的方法呢?
谢谢
为了客户端和服务器之间的安全传输,请使用HTTPS。
Q2。不加密密码,当攻击者获得数据库时,他也会获得加密密钥。使用随机盐迭代HMAC大约100毫秒的持续时间,并将盐保存为哈希值。使用password_hash、PBKDF2、Bcrypt等函数和类似的函数。关键是要让攻击者花费大量时间通过暴力破解找到密码。