Delphi – 认证机制建议

一些规则：

>身份验证必须是每个用户;
>身份验证必须针对会话,即网络连接和某个给定时间;
>永远不会在磁盘上清楚地存储密码,但使用哈希值;
>永远不要通过网络传输密码,但使用哈希;
>在任何值的散列过程中添加一些“盐”(即随机数据);
>尝试实现某种Zero-knowledge proof.

为简单起见,服务器为客户端创建“挑战”.

典型的实现可以是：

>客户端连接到服务器,说出其用户名;
>服务器检查名称,然后为客户创建并发送质询;
>客户要求用户输入密码,然后用它来回应挑战;
>服务器收到答案,然后检查挑战是否正确.

您可以使用良好的散列算法创建挑战(请参阅our very fast SHA-256 functions),并按照以下步骤操作：

>用户输入其初始密码,然后将SHA-256发送到服务器(通过固定私钥加密,例如);>服务器存储用户名/密码哈希作为键/值;>服务器通过创建随机块(使用一些随机数据的SHA-256,包括当前时间和其他随机化随机值……)来创建挑战;>客户端使用刚刚输入的密码的哈希值对此随机块(从服务器接收)进行哈希处理;>服务器从客户端接收结果,使用存储的用户密码哈希值计算自己的版本,并比较两个值：如果两个值相同,则challenge成功.