我有一个与网络服务器通信的 iPhone 应用程序。启动应用程序时,用户必须使用用户名和密码进行身份验证。 应用程序和 Web 服务器之间的通信是安全的 (HTTPS),但我不想向 Web 服务器发送明文密码,我只想发送密码的“签名”(签名将存储在Web 服务器上的数据库)。
在 IOS 上创建此“签名”的最佳解决方案是什么?我应该使用 MD5 还是其他什么?
我是否需要获取外部库来构建此签名,还是可以使用 IOS SDK 中的 SecKeyEncrypt 来完成?
从长远来看,我将有一个在 Android 上运行的应用程序,我必须能够为 IOS 和 Android 生成相同的签名。
谢谢你的帮助,
塞巴斯蒂安。
最佳答案
以明文形式传输密码是不好的,所以做任何事情都是好的第一步。如果您要付出努力,那么了解如何正确完成它是值得的。
虽然 MD5 不再是强大的哈希算法,但在 MD5 和 SHA256(甚至 SHA512)之间进行选择并不重要,重要的是如何使用它。让我们忽略散列算法的细节,先看看如何使用它。
使用散列的思想是字符串的散列总是相同的,并且是一种单向操作。通过捕获字符串,不可能(或不切实际)确定密码。近年来,随着彩虹表的大量使用,这已经变得不真实了。彩虹表包含每个可能的密码(最多给定长度)及其散列,以便攻击者可以使用反向查找来发现密码。彩虹表可用于 16 个字符以下密码的所有哈希算法。
这个问题有几个常见的解决方案。一种是多次(大约 1,000 次)执行散列。客户端和服务器必须知道并预先确定确切的次数,以便它们可以执行相同的操作。这具有使散列生成变得昂贵的优点和缺点。攻击者进行暴力破解在计算上变得更加困难,但如果彩虹表扩展到足够大,它们仍然有用。
更好但不太常见的解决方案是将已知的随机字符串(通常称为 Salt)添加到密码中以使其变长(可能为 64 个字符)。客户端和服务器必须事先知道此盐。这种解决方案既便宜又容易,即使盐漏了也没关系。
密码散列还有另一个常见问题。如果恶意用户知道用户密码的散列值,那么对于设计不当的系统而言,这与知道密码本身一样好。假设我们有一个需要用户名和密码哈希的 RPC 函数。知道密码哈希的恶意用户可以提交它,甚至不知道密码,并获得对系统的访问权限。这个已知的密码哈希将继续工作,直到用户更改他们的密码,这可能是几个月或几年。需要的是一种限制密码散列有用时间的方法。这是通过使用动态盐来实现的。
然后身份验证变成一个多步骤过程。
这是(大致)MySQL 使用的机制。它足够安全,可以在没有 SSL 的情况下安全使用,但我始终建议使用 SSL,以便保护其余的有效负载。
如果您使用这样的安全机制,那么使用 MD5 或 SHA 变体都没有多大关系。也就是说,任何新开发都不使用 SHA256 是没有意义的,除非有充分的理由需要 MD5。
关于ios - 客户端/服务器应用程序的散列用户密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19436345/
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
最近,当我启动我的Rails服务器时,我收到了一长串警告。虽然它不影响我的应用程序,但我想知道如何解决这些警告。我的估计是imagemagick以某种方式被调用了两次?当我在警告前后检查我的git日志时。我想知道如何解决这个问题。-bcrypt-ruby(3.1.2)-better_errors(1.0.1)+bcrypt(3.1.7)+bcrypt-ruby(3.1.5)-bcrypt(>=3.1.3)+better_errors(1.1.0)bcrypt和imagemagick有关系吗?/Users/rbchris/.rbenv/versions/2.0.0-p247/lib/ru
在Rails4.0.2中,我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常,但在生产环境中它会抛出如下错误,ActionView::Template::Error(noimplicitconversionofnilintoString)在View中,create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
这里有一个很好的答案解释了如何在Ruby中下载文件而不将其加载到内存中:https://stackoverflow.com/a/29743394/4852737require'open-uri'download=open('http://example.com/image.png')IO.copy_stream(download,'~/image.png')我如何验证下载文件的IO.copy_stream调用是否真的成功——这意味着下载的文件与我打算下载的文件完全相同,而不是下载一半的损坏文件?documentation说IO.copy_stream返回它复制的字节数,但是当我还没有下
