我在数据库中有密码的MD5哈希值,想要用于HTTP AUTH DIGEST。但是通过阅读文档,似乎摘要哈希包含用户名、领域和明文密码的哈希值。在这种情况下,有没有办法使用密码的MD5哈希值?
4个回答
6
不行。如果他们需要的哈希值是这样生成的:
MD5(用户名+领域+密码)
你就没戏了。
如果他们像这样对密码进行哈希:
MD5(MD5(密码)+用户名+领域)
那么你只需要使用已经哈希过的密码就可以了。但是听起来并不是这种情况。
- Spencer Ruport
6
不,您必须在表格中存储Digest的HA1哈希,并将其用于其他类型的身份验证(如表单和基本身份验证)。请参见此处:在表格中存储密码和摘要身份验证。
- Remus Rusanu
1
这应该被接受为最佳答案。你可以并且应该存储密码的哈希版本(而不是明文)。但是,你必须像本答案中所述的那样将其与用户名和领域一起进行哈希处理。 - drwatsoncode
4
不,这是不可能的。摘要认证的整个目的是为了避免重放攻击,即某人只有哈希版本(某些认证数据)而不是真实数据。
它不仅是用户名、真实密码和明文密码的哈希值,还包括一个随机数,每次都会更改。因此,您确实需要明文密码。
- Martin v. Löwis
1
不行。在摘要认证中,密码会与挑战一起进行哈希处理,无法使用其他哈希方式进行操作。
通过HTTPS的基本身份验证更加安全,应该可以使用您的哈希密码。
- ZZ Coder
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接