只要有會員系統的網站就會涉及到密碼,如果處理不好就會造成前陣子那種事。下面我就說說我在開發時是如何處理密碼這塊功能的。
首先,密碼必須加密,但簡單的MD5加密已經沒有太大意義,為了防止字典破解,我會給密碼加鹽后在MD5,我一般是用用戶自己的密碼當鹽。
這一步操作后基本上就不怕數據庫暴露了,接下來要做的就是前端的了。我們知道,HTTP傳輸協議是明文的,也就是可能用戶密碼還沒有到后端,在傳輸途中就可能泄露了,那要怎么解決呢?
其實我們完全可以把加密這一步驟放到前端來,密碼加密好后再進行傳輸,這樣傳輸數據如果被抓取,也是加密過的密碼。
既然要在前台加密,那就需要一個用來實現加密的js,我這推薦一個MD5.js,調用方法可以看下源碼,沒幾行代碼,而且也沒有壓縮過。
這就是我對密碼這塊做的2個處理,希望對大家有幫助。如果你又更好的辦法也希望能分享出來。