关于系统登录,在上大学的时候就是简单的用户名密码存储到数据库进行匹配,当然这是最基本的登录,但是实际的应用系统中这是非常不安全的,账户密码不论是在数据库中存储还是在网上传输过程中都应该是密文而不能是明文,一般都是采用MD5或者SHA加密算法把密码加密,但是这也是不安全的,因为现在网上对于这些流行的加密算法都有密码库,他可以利用库去对比加密后的密文从而反向推出你的密码,网上也有各种在线MD5加密解密的网站,所以像“123456”这种密码很容易被破解。那么为了解决这个问题就有一个增加密码强度的问题,我们通常使用加盐的方式,这个盐一般是一个字符串,可以只固定的也可以是不固定的,他会加到密码后面一起加密,或则你可以把它个加密后的密码在进行另一种加密算法的加密,这样密码的安全程度就显著提高,但是这样如果是采用的固定盐,那么如果数据库泄露的话也有一定的彩虹码碰撞的风险,这里可以考虑使用动态加盐的方式,即每个用户的一个属性作为盐,那么想要破解密码,每个用户都需要用一个库去比较,大大增加了破解所有账户的难度。
贴一点代码方便大家了解:
我这里举个栗子,系统登录的时候,前端使用js把用户输入的密码使用Md5加密后再加上一个时间戳传到后台:
//时间戳
var rand = new Date().getTime();