摘要： 本来想用MD5做散列来做密码传输的，无奈现在字典满天飞，而且已经被碰撞破解了。后打算用SHA1，但是到MD5.JS 上一看，人家作者推荐用SHA256或者更强的。好吧，那就改用SHA256好了。服务器端JAVA的MessageDigest类直接可以做SHA散列，不过散列完以后是Byte[]类型数据，所以还要再处理一下，使用apache的commons-codec库来做，就不自己写了。commons-codec库的下载地址：http://commons.apache.org/proper/commons-codec/download_codec.cgi代码是：（标红的是关键语句）import j 阅读全文

摘要： 《Using one-time passwords to prevent password phishing attacks》讲说可以使用一次性的密码，当用户注册时候，通过用户填写的联系方式，如手机或者email来发送一次性密码。之后的登录貌似也是一样的。《Kamouflage Loss-Resistant Password Management》斯坦福的。讲说一般的系统都只存储用户的密码S。他们提出一个框架是存储S + （N-1）个S的变种，认为当用户设备被盗时，黑客破解的时间会增加。不过没看完这篇，跟我们的需求不符。Digest access authenticationIt applie 阅读全文