本发明公开了一种用户与服务器之间安全认证的方法，服务器无需生成和公布公钥，通过交换临时公钥和验证值来交互，验证双方的合法性，保证客户端与服务器端建立安全且有效的传输信道，并最终生成会话密钥进行后续的通信。并建立会话密钥更新机制，在会话密钥泄露造成的安全信道失效的情况下，仍能重新建立安全信道；以及建立口令更改机制，保障了用户更改的新口令能安全地更新到数据库。本发明的方法，不需要生成并发布公钥及公钥证书，不需要进行公钥证书的验证与管理，安全有效，而且难以被攻击。