Flickrの認証APIがここで説明されていますハッシュされたパスワードを保存できますか?
http://www.flickr.com/services/api/auth.spec.html
私はSSLを使用せずに、要求に署名できるように、XML-RPCベースのプロトコルのために非常によく似たものを実装しました。
それは基本的に次のように動作します:
リモート関数呼び出し
doSomething(foo='hello', bar='world')
のために、私は名前で最初のソート引数、与える:
:('bar', 'world'), ('foo', 'hello')
を、私は文字列の連結を行います
m = "bar:world;foo:hello"
次に秘密鍵を追加します:
m = "bar:world;foo:hello;someSecret"
最後に、署名はメッセージmのmd5ハッシュです。
サーバでも同じ機能が呼び出された人が実際に秘密鍵を知っているかどうかをチェックします。
今のところパスワードはサーバー側にプレーンテキストで保存されています。代わりにハッシュされたパスワードを保存する方法はありますか?
私の推測によれば、md5ハッシュ関数はこれを可能にするためには加算性が欠けていると思いますが、巧妙な構造ではまだ達成できるでしょうか?
おかげで、すべての
あなたのクライアントについては、flickr apiまたはクライアントとサーバーのペアについて聞かれますか?プレーンテキストのパスワードをサーバに保存したり、認証中にプレーンテキストのパスワードを送信しないようにするいくつかの認証があります。 SRP http://en.wikipedia.org/wiki/Secure_Remote_Password_Protocol – osgx
あなたはHMACを使うことができる基本的な署名をしています。サーバーにクリアテキストパスワードを保存しない場合は、クライアントとサーバーの両方でmd5()(またはより強力なハッシュ(PBKDFなど)を格納し、md5(パスワード)を使用して署名と確認を行うことができます。 – osgx
私の最初の懸案事項は、パスワードを送信することを避けることです(SSLなし)。このパスワードを暗号化せずにサーバに保存する必要はありません。可能であれば、同じプロトコルを使用しますが、より良いプロトコルがあれば変更できます。 ボーナスの問題は次のとおりです。現在の認証プロトコルではflickrできますか? – ascobol