学习笔记

大部分情况下，使用 md5(md5(password) + salt) 方式加密基本上已经可以了：

alt 从哪里来？ salt 该怎么设置才能安全。有几个重要的点：

不要使用固定不变的 salt。 每个用户的 salt 都需要不同。 salt 必须由服务端使用安全的随机函数生成。 客户端运算需要的 salt 需要从服务端动态获取。 客户端加盐 hash 的结果并不是最终服务端存盘的结果。