我正在建立一个匿名站点。因此,基本上用户的帐户无法追溯到任何实际的人(例如通过电子邮件地址)。身份验证是我希望您考虑的部分。如果我使用电子邮件/通行证组合进行身份验证,是否可以使用bcrypt对电子邮件地址和密码进行哈希处理(我知道这是可能的,但是可行)吗?我以为如果电子邮件是加密的,那么搜索数据库以查找匹配项将非常慢。这是真的/假的吗?你觉得呢?你有没有什么想法?还有其他想法吗?基本上,我对任何有关身份验证的想法都持开放态度,但是如果通过电子邮件进行身份验证,则无法公开/解密。谢谢!
一旦哈希了某些东西,原始文件将永远无法恢复。
以密码为例,通常,当用户使用电子邮件/密码注册时,您将对密码进行哈希处理(使用bcrypt之类的方法),然后将哈希存储在数据库中。这很棒,因为如果攻击者获得了数据库的副本,则无法“解密”哈希。
在您的情况下,您可能不想散列电子邮件,因为这意味着您将永远无法向该人发送电子邮件-我假设您会这样做。
如果您决定采用这种方式,则基本上每个用户只存储两个密码(这是我能想到的最接近的类比,对不起!)。
希望有帮助!
编辑:更好的方法是创建一个仅提供密码的新帐户-然后您自动为该人生成一个用户名。这就是privateinternetaccess.com之类的公司所做的-他们会为您生成一些随机的用户名-这样您就无法联系用户,但他们仍然可以安全地登录到您的应用程序中。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句