tag
身份认证
该标签下有 4 篇文章
2026-06-28
什么是 passkey(通行密钥)— 不用密码、偷不走的登录方式
passkey=不持有共享秘密(密码)的登录方式。用设备内的私钥+生物识别签名,服务器只保存公钥。所以即使泄露也无法被滥用,在假域名上签名无法成立=抗钓鱼能力在结构上更强。比密码+短信验证码更安全,迁移时从重要账户开始分阶段推进才现实。
2026-06-27
密码哈希是什么 — 用不可逆的单向变换安全保存密码的机制
密码哈希=用不可逆的单向变换来保存密码的方法。明文保存不可取。与加密不同,它无法被解密,这正是优点。但直接使用 MD5/SHA-256 会被彩虹表或暴力破解攻破。正确做法是『每个用户不同的 salt』+『故意做得很慢的专用哈希(bcrypt/Argon2/scrypt)』。不要自己实现,交给标准库。
2026-06-27
如何安全存储密码 —— 哈希与加盐的正确做法
面向服务端的密码安全存储实战指南。先理解明文、加密、裸哈希为什么都不行,再收敛到『为每个用户加盐+故意放慢的专用哈希(首选 Argon2id,其次 bcrypt/scrypt)』。不要自己造轮子,直接用标准函数;成本参数要定期复核;既有的弱哈希在用户登录时重新哈希以完成迁移。
2026-06-12
JWT(JSON Web Token)是什么 — 带签名的通行证原理与安全用法
JWT 是服务器签名后发放的、无法篡改的「通行证」。它由 header.payload.signature 三部分组成,服务器通过签名来校验是否为真品。要点=①必须校验签名并固定期望的 alg(拒绝 alg:none)②内容人人可读,不要放机密③把有效期设短并准备失效策略。解码(读取内容)与校验(用签名确认真伪)是两回事。