Сессии, авторизация

#cpp #qt #сессия #qt5 #auth

                    
Пишу небольшое клиент-серверное приложение на Qt5, встал вопрос об авторизации.
Подскажите актуальные алгоритмы для безопасной авторизации и генерации ID сессии,
был бы рад полистать готовые реализации и примеры.
    

Ответы

Ответ 1

Частично на этот вопрос отвечает " RFC 2617 - HTTP Authentication: Basic and Digest
Access Authentication ".Возможно, доступное по  этой ссылке.
В целом, передавайте хешированный ключ с солью (т.е. по каналу связи следует передавать
только хеш-сумму). На стороне сервера хешируйте ключ пользователя с той же солью и
сравнивайте хеши. Такой вид аутентификации используется в линукс при авторизации, например.
Смотрите также "дайджест-аутентификация".

Upd: @Timofey Bondarev, спасибо за ценное замечание.


Ответ 2

Категорически не рекомендую использовать всякие srand() + rand() для генерации чувствительных
данных. На винде вполне можно использовать CryptGenRandom из CryptoAPI. В линухах,
говорят, /dev/urandom.