应用使用未加密密码通过数据库登录

Question

非常简单，我的应用程序要求用户通过输入用户id和密码登录，通过在users表中搜索精确匹配来根据MySQL数据库进行身份验证。目前，表单接受user_id ( users表的主键)和使用PHP的crypt()加密的随机生成的8个字符的密码。我只有几个关于这个过程的问题。

首先，更多的是一个主观的问题，我认为输入用户id不是很好。也许应该使用用户的姓氏和名字首字母生成用户名(例如，John Smith成为smithj1)。有什么想法？

其次，我不确定密码是否完全有必要加密。信息实际上并不那么敏感，如果用户不需要输入很长的字母数字字符串就更好了。是否可以只生成一个短字符串，可能是4-5个大写字符(类似于Google发送给您验证帐户的代码)？换句话说，它更像是密码而不是密码。

根据第二个问题，这一点可能是没有意义的，但由于密码是使用crypt()加密的，我认为它不能用钛解密(我正在使用的构建应用程序)。如果我应该继续使用加密的密码，我应该使用什么来加密它，以便Titanium可以用来检查输入的密码与数据库？

Answer 1

PHP的crypt()将使用标准的基于DES的Unix算法或系统上可用的替代算法返回一个散列字符串。

你可以使用Appcelerator的免费加密模块，可用的in their marketplace，或者你可以搜索a JavaScript library that supports DES decryption。任何一个都能解决你的问题。