肥猫SEO论坛»论坛首页 › 行业交流 › 软件下载 › 如何让用户可以正常登录，同时不怕数据库被盗？ ...

高端网站建设可签合同可上门沟通	站群程序定制/蜘蛛池租用	全行业SEO接单QQ1624516415	全行业SEO接单QQ1624516415
2000+站点外链一键通发	原创SEO文章代写【点击】	点击加入本站VIP 发帖免审核	广告位招租

honghu2

23万积分	0 好友	7万主题

发消息

如何让用户可以正常登录，同时不怕数据库被盗？

TA的其它主题

发表于 2021-9-26 15:12 | 查看: 467| 回复: 0

若何让用户可以正常登录，同时不怕数据库被盗？

每一个网站城市设计本身的帐号体系，用户不论是经由过程QQ仍是微信登录过来的，大大都网站都是想把他们转入到本身的帐号体系，由于如许估值的时辰，这个用户才是你的用户，才好把故事讲好。那这些用户名和暗码该若何存储才平安呢？或说即便被「脱裤」了，若何才能不被黑产操纵呢？

近来两年暴光的事务，发明有几个公司的暗码库竟然是明文存储的，也就是“果果，123456”如许的存储方法，小学生都看得懂，直接可以登录了，还谈何平安。

详细是那几个公司就不说了洋葱交友，以避免有为他们做告白，帮忙他们死灰复然的嫌疑（死灰复然应用了浮夸的修辞伎俩，你懂的，我是吹了个牛逼）。

以是，问题抽象为——若何让用户可以正常登录，同时不怕数据库被盗呢？先看看以下图最原始的数据库设计。

最原始的数据库设计必定是如许的，想都不消想，被攻破，所有效户暗码就泄露了，小明和小红所有的隐私也都泄露了。

步伐员不平输，那我不让Password字段是暗码不便可以了，因而变成了如许，暗码是做了MD5（MD5传送门：名词诠释：时候戳、MD五、GUID）以后的密文，如许用户登录的时辰输入123，后台比拟Md5（123）是否是202cb淫乱*这段数据，就可以证实输入准确与否了。

理论上MD5是单向的，也就是一个字符串会天生一个独一的MD5码（有开辟同窗就别叫真了，我知事理论上不惟一会冲突，但几率很是小，产物司理请继续认为根基独一），这类环境下，数据库泄露了，有危害吗？

谜底是有危害，由于另有一帮步伐员更聪慧，发现了叫彩虹表的工具，彩虹表是把字符串和这些MD5值对应起来做了一个大数据库，也就是晓得了202cb淫乱*这段数字以后，会反向查找出秋葵视频字符串，也就拿到了明文的暗码。这个彩虹表一般都是上百个G的数据，以是用MD5或SHA这些算法来庇护暗码也有缝隙。

步伐员又不平，继续摸索新的法子，客长注重了，咱们马长进入到飞腾部门，讲述若何用「加盐」来解决这个问题。

如上图所示，咱们加了一个新的字段叫Salt，翻译过来就是盐，这个字段是用户注册的时辰随机发生的一个字符串，以是这回咱们天生麻豆交友数据库中的暗码就是如许天生的：Md5（“123” + “jakldsfjn234辉灿软件园jkl234jkl;123″）=6bbf7f8dd1f7dd3d7c03182620ba312f，当用户输入123的暗码时，后台也用这个算法来验证是否是可以正常登录。

假如数据库又被盗取了，这个时辰拿到的暗码库的Password字段是两个字符串拼接的Md5值，这个时辰由当前的暗码会获得“123” + “jakldsfjn234jkl234jkl;123”的字符串拼接的值，可是要区别出哪些部门是暗码本钱是很是高的，并且这个salt可以混合在123这个字符串的任何位置，乃至可以将盐分隔好比1前面放三个字符，2后面两个字符，剩下的接到3的末端。

数学推理，果果也没有求证和推演过，总之时候本钱会令这类破解收益很是很是小，从而庇护了暗码库的平安。
#专栏作家#
给产物司理讲技能，微信公家号（pm_teacher），人人都是产物司理专栏作家。资深步伐猿，专注客户端开辟若干年，对前端、后台技能略懂，热中于对新的科技范畴的摸索。

本文原创公布于人人都是产物司理。未经允许，制止转载。

收藏0 回复显示全部楼层道具举报

返回列表

		自动登录	找回密码
密码			立即注册