Ho un'idea per implementare un sistema di account usando email e password per i giochi. Im intenzione di avere la creazione di account e dimenticare i sistemi di password su una pagina web. Quindi, se gli utenti dovranno accedere alla pagina web per accedere a tali funzionalità. Gli utenti effettueranno il login con quei dettagli nel gioco.
Per la creazione dell'account e la password dimenticata, sto pensando di impostare il mio server di pagine web. Mentre il database degli account verrà archiviato con il server di gioco che ospiterà anche gli script dell'account.
Penso che se dovessi inserire il mio percorso di script del server di gioco nel modulo HTML, l'utente sarà in grado di conoscere la posizione del mio server di gioco. Quindi, per l'utente che desidera hackerare il mio server, conoscerà la posizione. Con quello stavo pensando, se il modulo punta a uno script nel mio server web, e quello script ha inviato i dati al mio script del server di gioco. Significa che il server di gioco sarà composto solo se il mio server web è violato?
Per quanto riguarda l'e-mail e la password dell'utente, so che memorizzare la password in testo semplice non è un buon modo. Il modo consigliato era di crittografarlo con un hash e sale. Mi chiedo se la crittografia e la salatura dovrebbero avvenire sul lato client (HTML) o sul lato server (script sul server di gioco)?
Se succede al server di gioco, dovrò inviare la password in testo semplice, vero? O potrei inserire la password con MD5 o SHA-1 o SHA-256 (ecc.) Sul lato client e ricevere la password hash sul lato server ed eseguire un secondo giro di hashing con salting sul server di gioco?
Le cose che sto cercando in questa domanda riguardano la sicurezza per entrambi i miei utenti e il mio server per questo metodo di autenticazione.