特定限制下的用户认证

Question

我使用 django 作为应用程序的后端，由于某种原因我不能使用 django（或 DRF）请求系统，我需要提供使用我的服务器的功能。

每个用户都可以访问所有功能，但该功能因用户身份而异，因此我必须有某种身份验证方法。

第一个选项是在每个 url 调用中传递一个原始用户密码，我认为这不安全。

第二种选择是使用某种代码，客户在握手后会得到并使用它。但我完全不知道如何实现这一点。

哪个更好，我该如何保护它？

Answer 1

最好的方法是使用所谓的密码加盐。您可能希望将所有密码字符串与随机生成的字符串连接起来。您会希望所有密码最终都具有相同的长度。这是为了防止攻击者使用哈希来确定密码长度的彩虹表攻击。在您的情况下，您希望使用选项 2 并了解如何在您的身份验证系统中实施加盐。