我希望用户能够选择我的网站上的“记住我”框,这样他们就不需要每次来的时候都登录。因此,我需要在cookie中存储一个唯一的ID来标识它们。使用sha512和一个长盐对他们的密码进行散列并将其存储在cookie中是否安全?如果cookie被偷了,他们的密码会有风险吗?显然,它必须以某种方式连接到他们的密码,否则,如果cookie值被猜测或被盗,用户将无法阻止其他人登录。
另外,使用GUID作为唯一标识符是否可取?
谢谢,本
发布于 2010-03-02 15:48:14
关于这个主题,Here是一篇很好的文章。你的问题的许多答案都涉及到其中概述的技术。
发布于 2010-03-02 12:20:11
有一个好的算法和大量的盐是低风险的,但是为什么要冒不必要的风险呢?
如果你只需要识别用户,那么存储一些可以唯一识别用户的东西,比如guid和一些其他存储的验证码(不是他们的密码,而是一些随机的长字符串)。我不会单独使用guid,因为它不是一种安全的身份验证方法。
发布于 2010-03-02 12:29:50
在cookie中加上用户id (以防止用户将uid更改为另一个用户的uid)并不会有什么坏处,只是不要让" password“与实际用户的密码相同。
仅仅因为它是散列并不一定意味着它是单向的(好吧,根据定义它是单向的,但是有实用程序可以生成MD5明文,我猜它发生在其他人身上只是个时间问题)。我会散列一些次要的密码。
https://stackoverflow.com/questions/2360861
复制相似问题