我读过有关密码加盐的文章,但这听起来可能有点奇怪。但是如何存储和保护盐呢?例如,在多层架构中,如果我使用客户端机器的GUID来生成盐,则用户将被限制在单台计算机上,但如果我使用随机盐,则必须将其存储在某个地方。几天前,我看到一个示例应用程序,在创建新用户时,哈希值和盐是在客户端系统上生成的,然后盐化密码和哈希值会传输到服务器上,在那里它们存储在SQL服务器中。但是,如果我遵循此方法并且数据库受到攻击,则每个密码的盐值和密码将对X人员可用。因此,我是否应该再次在服务器端对密码和接收到的盐进行加盐/加密?加盐的最佳实践是什么?