Получить хешированный пароль PHP из базы данных и проверить представленный пароль в Javascript

Question

У меня есть страница настроек в моем проекте, и я могу изменить свой пароль. У меня есть форма, где он просит вас ввести текущий пароль , новый пароль и подтвердить пароль . Я проверяю все данные на наличие ошибок и отправляю их на сервер, используя jQuery ajax .

Единственная проблема, с которой я столкнулся, заключается в том, что мне нужно проверить мой текущий пароль по паролю, хранящемуся в базе данных.

Пароль базы данных хэшируется с использованием PHP SHA1 ($ database_password. $ Salt);

Я думал, что я передаю переменные PHP, $ database_password и $ salt в Javascript, а затем использую sha1 () js альтернатива javascript код sha1 , чтобы увидеть, соответствует ли мой текущий пароль пароль базы данных .

Может кто-нибудь дать мне какие-нибудь указатели или есть альтернативные способы?

Answer 1

Я думаю, что лучше оставить хэш пароля на сервере.Вы можете сделать ajax-запрос с текущим паролем и заставить сервер проверить его.Таким образом, хэш остается неизвестным для пользователя, и атака методом перебора является более сложной.

Конечно, вы должны отправлять текущий пароль (и новый пароль) только после того, как пользователь укажет, что он закончил печатать (т.е.. когда он нажимает кнопку отправки).