设计安全的账号系统

设计一个安全的账号系统，很重要的一个方面就是如何保护用户的密码。保护用户密码最简单的方式就是使用带盐的密码hash(salted password hashing)。

具体的操作就是给密码加一个随机的前缀或者后缀，然后再进行hash。这个随机的后缀或者前缀成为“盐”。通过加盐，相同的密码每次hash都是完全不一样的字符串了。检查用户输入的密码是否正确的时候，我们也还需要这个盐，所以盐一般都是跟hash一起保存在数据库里，或者作为hash字符串的一部分。

如果需要达到更高的安全等级，可以考虑将salt值和最终hash结果存在不同的数据库。

比较加盐hash结果时，注意使用时间恒定的比较函数。

普通的情况下，在比较两个字符串时，函数是一个字符一个字符进行比较，如果某个字符不匹配就会立即返回。攻击者可以根据验证的时间长短来判断前几位字符是否正确，然后逐步修正最终得到正确的结果。

因此，在比较 hash 时，使用时间恒定的比较函数，可以让攻击者摸不着头脑。