我目前正在寻找一种加密用户密码的方法,而不是简单地使用crypt(),在阅读了这个stackoverflow答案后,我决定使用Phpass 0.3。然而,当你访问Phpass主页时,它也可以选择下载签名。有两种不同的签名可用,如果你想的话,你似乎可以创建自己的签名
1]签名的目的是什么,它们是如何工作的?
2]它们是使用Phpass所必需的,还是只是额外的一层安全性?
签名用于验证下载。这里解释了如何使用它们。
想想看,你正在下载一个软件,你将在软件中的安全敏感、关键功能中使用它。谁能保证你正在下载并在服务器上愉快地执行的内容不包含恶意后门?只有你对作者的信任才能做到。
作者对其可下载的代码进行了数字签名,并提供了一个您可以验证的公共签名。其想法是下载代码,获取签名,并验证两者是否匹配。这有助于防止攻击者破坏您的下载并在下载时将恶意代码插入其中,或者防止有人破坏服务器并用恶意代码替换代码。
不过,请注意,作者本人表示,如果服务器被破坏,签名也可能被破坏。
注意:现在我推荐PHP的password_hash,而不是旧的Phpass库。