Tôi có băm MD5 của mật khẩu trong cơ sở dữ liệu mà tôi muốn sử dụng với HTTP AUTH DIGEST không. Nhưng khi đọc tài liệu, có vẻ như băm thông báo có chứa băm của tên người dùng, mật khẩu và mật khẩu thô. Có cách nào để sử dụng MD5 băm của mật khẩu trong tình huống này?Tôi có thể sử dụng mật khẩu đã mã hóa MD5 đã được xác thực trong Digest Authentication
số Nếu băm họ cần được tạo ra như vậy:
MD5 (username + vương + mật khẩu)
Bạn đang trên may mắn.
Nếu chúng được băm mật khẩu như sau:
MD5 (MD5 (mật khẩu) + tên + địa hạt)
Bạn sẽ có thể làm điều đó chỉ với mật khẩu băm. Nhưng nó không có vẻ như đó là những gì đang xảy ra.
Không, bạn phải lưu trữ trong bảng bảng băm HA1 của Digest và sử dụng cho các loại xác thực khác (biểu mẫu và Cơ bản). Xem tại đây: Storing password in tables and Digest authentication
Không, điều này là không thể. Toàn bộ điểm xác thực tiêu hóa là để tránh các cuộc tấn công phát lại, tức là ai đó chỉ có phiên bản băm (của một số dữ liệu xác thực) thay vì dữ liệu thực.
Nó không chỉ là một băm mật khẩu tên người dùng, thực, và văn bản thô, mà còn là một nonce, sẽ thay đổi mỗi lần. Vì vậy, bạn thực sự cần mật khẩu thô.
No. Trong xác thực thông báo, mật khẩu được băm với một thử thách, không có cách nào để làm cho nó hoạt động với một băm khác.
Xác thực cơ bản qua HTTPS an toàn hơn và nó sẽ hoạt động với mật khẩu băm của bạn.
Điều này phải được chấp nhận là câu trả lời hay nhất. Bạn CÓ THỂ và NÊN lưu trữ một phiên bản băm của mật khẩu (như trái ngược với văn bản thuần). Nhưng bạn phải băm nó cùng với tên người dùng và lĩnh vực như được ghi trong câu trả lời này. – ricovox