通过 Web 服务处理密码的最佳实践

Question

我有 N 层应用程序，由三部分组成：

1. Client (WPF)
2. WebService (Java web service) (Business logic)
3. Database (Oracle)

我将密码存储在 oracle 数据库中的 md5 中，但将密码从客户端发送到未加密状态的 Web 服务，就像一个简单的字符串一样。我必须使用哪种技术来保护网络中的密码？

Answer 1

我真的建议您使用 SSL，除非您要考虑很多安全问题。 Kerberos 也很好地解决了这些问题，但使用起来并不那么简单。

通过阅读Designing an Authentication System: a Dialogue in Four Scenes，我对安全身份验证问题有了一些见解（它是关于设计 Kerberos，但很多内容通常适用于所有身份验证系统）。

Answer 2

我认为 SSL 是其他人建议的您的朋友。但无论你做什么，我都不会通过网络发送 MD5 散列。散列（使用 MD5 或其他）的部分目的是避免存储可以“照此使用”来验证用户的值。如果任何攻击者能够访问数据库，他只会看到散列密码，但仍需要使用原始密码（他无法从散列中解密）来访问 Web 服务。如果您的 Web 服务决定让客户端进行哈希处理，而不是要求原始密码并在将其与数据库中存储的值进行比较之前对其本身进行哈希处理，则上述攻击者只需发送受损哈希值即可进行身份验证。

Answer 3

如果您担心请求被拦截，那么您可以使用 SSL 在客户端和 WS 之间进行通信。即使您在将真实密码发送到 Web 服务之前在客户端内部对其进行编码，如果编码形式以某种方式被公开，它也可以“按原样”用于制定来自任何 HTTP 客户端对 Web 服务的请求。或者，您可以使用仅存储在客户端中的算法对消息内容本身进行加密，这样您就可以确保所有 WS 请求仅来自您的客户端。

Answer 4

您可以将密码 MD5 从客户端发送到 Web 服务。更好的是，盐渍 MD5（在 DB 中，您还应该保留盐渍 MD5）。然后只需比较从客户端收到的内容与 DB 中的内容。