ໂດຍການປ້ອນ ID ແລະລະຫັດຜ່ານ, ລະຫັດ ID ແລະ hashed ຈະຖືກສ້າງຂື້ນມາເພື່ອໃສ່ໃນ .htpasswd.
ເອກະສານ htpasswd ແມ່ນຫຍັງ?
ມັນຖືກໃຊ້ເພື່ອປົກປ້ອງແຟ້ມເອກະສານ, ແຟ້ມຂໍ້ມູນຫລືເວັບໄຊທ໌ທັງ ໝົດ ໂດຍໃຊ້ການກວດສອບຜູ້ໃຊ້ HTTP ທີ່ເອີ້ນວ່າການກວດສອບຄວາມຖືກຕ້ອງຂອງ BASIC, ແລະຖືກຈັດຕັ້ງປະຕິບັດໂດຍອີງໃສ່ກົດລະບຽບທີ່ອະທິບາຍໄວ້ໃນເອກະສານ .htaccess.
ຂໍ້ມູນຂອງຜູ້ໃຊ້ຖືກຂຽນໃສ່ເສັ້ນ ໜຶ່ງ ຕໍ່ຜູ້ໃຊ້, ແລະແຕ່ລະເສັ້ນມີຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານທີ່ແຍກອອກດ້ວຍຈໍ້າສອງເມັດ (:). ຊື່ຜູ້ໃຊ້ຈະຖືກບັນທຶກດ້ວຍຂໍ້ຄວາມ ທຳ ມະດາ, ແຕ່ລະຫັດຜ່ານຈະຖືກບັນທຶກເປັນແບບຟອມ.
ທ່ານສາມາດຕັ້ງຊື່ລະຫັດຜ່ານໃຫ້ແຕ່ຊື່, ແຕ່ວ່າ Apache ໃຊ້ .htpasswd ໂດຍຄ່າເລີ່ມຕົ້ນ, ແລະແຟ້ມ dot (ແຟ້ມທີ່ເລີ່ມຕົ້ນດ້ວຍ ''. '') ແມ່ນເອກະສານທີ່ຖືກເຊື່ອງໄວ້, ດັ່ງນັ້ນແນະ ນຳ ໃຫ້ໃຊ້ '.htpasswd' ເປັນຊື່ແຟ້ມ.
ສູດການຄິດໄລ່ Hash
- md5 (APR) $ apr1 $ prefix
ຫນ້າທີ່ hash ທີ່ສ້າງມູນຄ່າ 128 ບິດ.
ນີ້ແມ່ນຄ່າເລີ່ມຕົ້ນໃນຮຸ່ນ 2.2.18 ແລະຕໍ່ມາ, ແຕ່ວ່າມັນບໍ່ມີຄວາມປອດໄພພຽງພໍໃນຊຸມປີມໍ່ໆມານີ້.
ຄວາມເຂົ້າກັນໄດ້: Apache ທຸກລຸ້ນ, Nginx 1.0.3 ຫຼືສູງກວ່າ - crypt (), ຫຼື crypt (3) ໂດຍບໍ່ຕ້ອງມີ ຄຳ ນຳ ໜ້າ
ເຖິງ Apache version 2.2.17 ແມ່ນລະບົບ algorithm ທີ່ ກຳ ນົດໄວ້ໃນຕອນຕົ້ນ, ແຕ່ດຽວນີ້ຖືວ່າບໍ່ປອດໄພເພາະລະຫັດຜ່ານມີ ຈຳ ກັດເຖິງ 8 ຕົວອັກສອນ.
ຄວາມເຂົ້າກັນໄດ້: Apache, Nginx ທຸກລຸ້ນ - SHA-1 {SHA} ຄຳ ນຳ ໜ້າ
ຫນ້າທີ່ hash ທີ່ສ້າງມູນຄ່າ 160-bit.
ເຖິງແມ່ນວ່າມັນໄດ້ຖືກຮັບຮອງໂດຍໂປແກຼມໂປຼແກຼມແລະໂປໂຕຄອນຫຼາຍ, ມັນບໍ່ປອດໄພໂດຍມາດຕະຖານທີ່ຜ່ານມາ.
ຄວາມເຂົ້າກັນໄດ້: ທຸກລຸ້ນ Apache, Nginx 1.3.13 ຫຼືສູງກວ່າ - bcrypt $ 2y $ ຫຼື $ 2a $ prefix
ຫນ້າທີ່ hash ທີ່ໄດ້ຮັບການພິຈາລະນາວ່າຂ້ອນຂ້າງປອດໄພໃນຊຸມປີມໍ່ໆມານີ້, ໂດຍ ນຳ ໃຊ້ລະບົບເຂົ້າລະຫັດ encryption.
ມັນຕ້ອງໃຊ້ເວລາຫຼາຍໃນການຄິດໄລ່ເຊິ່ງເປັນສາເຫດ ໜຶ່ງ ທີ່ເຮັດໃຫ້ມັນປອດໄພ.
ພາລາມິເຕີ ກຳ ນົດເວລາຄິດໄລ່. (ຕົວເລກທີ່ໃຫຍ່ກວ່າຈະມີຄວາມສັບສົນແລະປອດໄພກວ່າ, ແຕ່ຈະຜະລິດຊ້າລົງກວ່າເກົ່າ)
* ລະວັງຢ່າຕັ້ງຄ່າ 10 ຫຼືຫຼາຍກວ່ານັ້ນ, ເພາະມັນຈະ ໜັກ ຫຼາຍ.
ຄວາມເຂົ້າກັນໄດ້: Apache 2.4 ຫຼືຫຼັງຈາກນັ້ນ (ຕ້ອງການ apr-util 1.5 ຫຼືສູງກວ່າ)
