理论知识部分摘录自:
http://blog.chinaunix.net/uid-9234131-id-5088292.html
http://blog.csdn.net/sissiyinxi/article/details/7660389
1.服务器端会随机生成一个random string发送给客户端;
2.客户端收到random string后,进行hash加密
第一步,将密码hash,得到hash值hash_stage1; eg.hash_stage1=sha1("password");
第二步,二次hash,得到hash_stage2; eg. hash_stage2=sha1(hash_stage1);
第三步,将密码二次hash得到的值与random string进行hash,得到hash_stage3; eg. hash_stage3=sha1("randomstring",hash_stage2);
第四步,异或处理准备发送给服务器端,得到reply=xor(hash_stage1,hash_stage3);
最后,将reply的值发送给服务器端。
3.服务器端收到reply后同样进行hash运算
第一步,将保存的hash形式的密码hashpassword与random string进行hash,得到server_hash_stage1=sha1("randomstring","hashpassword");
第二步,将客户端发送的reply与刚才得到的hash值进行异或运算,得到xor_value;eg. xor_value&