github 是如何保存用户名和密码的？

github 使用 ror 开发的，那么应该使用的是 ror 的自带的密码管理系统，我不了解 ror ，应该也是 salt+散列方法对密码加密(PBKDF2 或者 bcrypt 或者是自研的）。

但是 github 的 api 又是支持 http basic authentication 的，也就是原始密码有可能会被明文保存，或者对称式加密保存，是这么理解吗？那被拖库不是不安全了？

tony1016

2015-10-30 13:17:58 +08:00

既然保存的散列，比较的也是散列，何必要保存明文。至于你说的“有可能”，那“非编制内的员工”，很有可能在日志里或者哪里保存一下。

ryanking8215

2015-10-30 13:25:39 +08:00

@cyberdak
@tony1016
basic authentication, 就是对原始密码进行 base64 编码，如果系统只保存散列密码， basic auth 怎么认证呢？
所以为了支持 basic auth, 它要么保存原始密码，要么对原始密码进行对称式加密保存。

ryanking8215

2015-10-30 13:27:05 +08:00

sorry, 理解错了。 base64 解码后和标准认证是一样的

clino

2015-10-30 13:40:27 +08:00

"又是支持 http basic authentication 的" 和 "也就是原始密码有可能会被明文保存，或者对称式加密保存" 没什么逻辑关系吧?

比如说用保存 hash 值的办法,一样可以支持 http basic authentication 啊,每次把 http basic authentication 传来的用户名密码 hash 计算以后和保存下来的 hash 值比较不就能够鉴别用户了

SoloCompany

2015-10-30 23:23:22 +08:00

「所以为了支持 basic auth, 它要么保存原始密码，要么对原始密码进行对称式加密保存」
这理解能力也是醉了，明明是正好相反

ryanking8215

2015-10-31 09:59:03 +08:00

@SoloCompany 呵呵，之前脑子抽住了，错误地认为 login form 传的是散列后的密码，其实密码散列计算在 server 端做的，那么 basic auth 也是 ok 的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232251

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.