Tengo una idea para implementar un sistema de cuenta mediante correo electrónico y contraseñas para juegos. Tengo la intención de tener la creación de la cuenta y olvidar los sistemas de contraseña en una página web. Entonces, si los usuarios tendrán que acceder a la página web para acceder a esas funciones. Los usuarios iniciarán sesión con esos detalles en el juego.
Para la creación de la cuenta y la contraseña olvidada, estoy pensando en configurarlo en el servidor de mi página web. Mientras que la base de datos de la cuenta se almacenará con el servidor del juego, que también alojará los scripts de la cuenta.
Creo que si tuviera que colocar la ruta de comandos de mi servidor de juegos en el formulario HTML, el usuario podrá conocer la ubicación de mi servidor de juegos. Por lo tanto, para el usuario que desee hackear mi servidor sabrá la ubicación. Con eso estaba pensando, si el formulario apunta a un script en mi servidor web, y ese script enviará los datos a mi script del servidor de juegos. ¿Eso significa que el servidor del juego solo estará integrado si mi servidor web es hackeado?
Con respecto al correo electrónico y la contraseña del usuario, sé que almacenar la contraseña en texto sin formato no es una buena manera. La forma recomendada era cifrarlo con un hachís y sal. ¿Me pregunto si el cifrado y la salazón deberían realizarse en el lado del cliente (HTML) o en el lado del servidor (script en el servidor del juego)?
Si sucede en el servidor del juego, tendré que enviar la contraseña en texto sin formato, ¿no es así? O, ¿podría copiar la contraseña con MD5 o SHA-1 o SHA-256 (etc.) en el lado del cliente y recibir la contraseña en el lado del servidor y realizar una segunda ronda de hash con salazón en el servidor del juego?
Lo que estoy buscando en esta pregunta es sobre qué tan seguros están tanto para mis usuarios como para mi servidor para este método de autenticación.