javascript - 除了 BCrypt 之外,是否可以或推荐使用基本访问身份验证来防止未经授权的用户访问服务器
问题描述
这是一个非常概念性的问题,但正如标题所暗示的那样,我正在使用基本访问身份验证来防止对服务器的未经授权的访问,这本身并不是很安全。但是,在将用户名:密码发送到服务器之前,我使用 Bcrypt 加密了正确的用户名:密码组合。这会防止未经授权的访问吗?在使用 Node.js 之前,我已经制作了几个网页和服务器。然而,这是我第一次创建一个可能被普通大众使用的产品,而不仅仅是为了娱乐/体验,所以我不知道大多数需要注意的安全漏洞。
我知道用户可以检查元素以获取标题,但因为我使用的是 BCrypt,所以authentication
标题相当于:JDJhJDEwJFZxSTRrNnZqL0pXYndSS1djOUk4Q3VybWRlbUppUUJTc0VkbWlpZEMwNDRDLnAxRWR5MTAuOiQyYSQxMCRwRkRMTGpTYXlLMUZiV0hsUEFONHd1RnBIN3Vwd0tWc2pCNlJWR1NreHBmbm0ydzNVVWtSdQ
解码为 UTF-8 是:$2a$10$VqI4k6vj/JWbwRKWc9I8CurmdemJiQBSsEdmiidC044C.p1Edy10.:$2a$10$pFDLLjSayK1FbWHlPAN4wuFpH7upwKVsjB6RVGSkxpfnm2w3UUkRu
解决方案
推荐阅读
- python - 从字典复制键时将 NumPy 数组转换为字符串
- java - 无法理解错误:表示表达式的非法开始(逻辑运算符)
- python - 自定义 PostgreSQL 查询执行到 django 应用程序
- android - Android Firebase 身份验证:仍然需要“google-services.json”吗?
- android - 将 ImageView 的可见性连接到 MediaPlayer 状态的最佳方法?
- r - 通过索引行按年和月按客户细分成本
- linux - 无法在某些目录下运行 dotnet?
- java - 无法处理 okhttp-3.14.0.jar
- java - 需要超过 22 个字段的类型安全。任何解决方法?
- python - 如何使超类方法的局部变量可用于另一个类调用超类的子类