利用JAVASCRIPT HMAC-MD5算法增强用户的密码安全-优快云博客

本文介绍了一种使用HMACMD5算法实现用户密码的安全管理方案，包括注册、修改及验证流程。通过客户端与服务器端的配合，确保密码在传输过程中的安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

利用HMAC MD5算法实现用户密码的注册、修改及验证

包含用户名(username)、密码(password)、重复密码(confirm_password)、图形验证码(imgcode)。在submit时进行下面的计算：

password.value = hex_hmac_md5(username.value, password.value)

confirm_password.value = hex_hmac_md5(username.value, confirm_password.value)

判断图形码是否正确，用户名是否重复。如果都正常则将username和password保存在数据库中。这时数据库中实际保存的是hex_hmac_md5(username, password)的值。其中图形验证码是防止恶意注册。

包含用户名(username)、原密码(old_password)、新密码(new_password)、重复密码(confirm_password)、图形验证码(imgcode)。在submit时进行下面的计算：

old_password.value = hex_hmac_md5(username.value, old_password.value)

new_password.value = hex_hmac_md5(username.value, new_password.value)

confirm_password.value = hex_hmac_md5(username.value, confirm_password.value)

判断图形码是否正确，并且判断new_password与confirm_password是否相同。如果都正常则判断old_password是否同数据库保存的密码相同，如果相同则将数据库中的密码修改为new_password。图形验证码是防止暴力破解。

包含用户名(username)、服务器时间戳(server_timestamp)、服务器一次性令牌(nonce=hex_hmac_md5(server_timestamp, client_ip+client_port))、密码(password)。在submit时进行下面的计算：

password.value = hex_hmac_md5(hex_hmac_md5(username.value, password.value), nonce.value)

验证时间戳在5分钟之内且nonce没有用过。hex_hmac_md5(数据库中的密码, nonce)要等于password.value。如果都成立则成功登录，删除Session中的nonce。否则重新取时间戳、生成nonce让用户重新登录。

注册与修改密码仍然会在网上传播HASH值。为了更进一步的安全，要对HASH值进行加密传输。结合AES算法，能够进一步保证HASH值的安全。另外如果注册同修改密码用HTTPS，就省力很多。