密码(Bcrypt.Net) + WCF

Question

假设我们有一个客户端通过WCF连接到服务器：

Server <---WCF---> Client

用户需要通过用户名+密码登录。验证客户端密码的最佳实践是什么？

我是否只是在客户端散列密码并将散列密码发送到线路上，如下所示：

// client:    
return BCrypt.Net.BCrypt.HashPassword(password, BCrypt.Net.BCrypt.GenerateSalt(xx));

还有另外一种方式吗，因为通过网络发送密码并在服务器上散列并不是最聪明的事情。可以通过电传发送散列吗？

Answer 1

..。至少这是一种普通的方式。无论如何，您应该设法确保https被用于更安全的.

另一种可能是使用WCF 本身提供的集成安全机制。

编辑:我想与@Corak分享信用，因为他提到了作为一种安全和明智的方式来处理这个场景。