gpt4 book ai didi

php - 在 Lithium session 中存储密码安全吗?

转载 作者:可可西里 更新时间:2023-10-31 22:13:00 24 4
gpt4 key购买 nike

我想使用 Lithium 的“cookie” session 适配器。用户登录后,我将使用他的散列密码创建一个 cookie。如果此 cookie 存在并且散列密码与数据库中的密码匹配,我将自动让他登录。

这样安全吗?


好吧,我不是在谈论 cookie 中的实际哈希值,而是加密的哈希值。我不想让任何人知道那个散列的样子 :)Lithium 具有“策略”,可以使用“ secret ”加密您存储在 session 中的任何数据,因此哈希将被加密。基本上我是在问 Lithium 的加密是否足够好。有人用过 Lithium 吗?

最佳答案

这取决于您的哈希算法。使用盐使您的散列更安全:
Safe Password Hashing

Remember, the hash of the password is effectively the same as their password. Somebody who stole the hash would have the same access to the user's account as if they had stolen their password. Therefore it is not advisable to store a hash of the user's password in a cookie unless there was some other information not stored with the cookie that is used to authenticate (i.e. 2-factor authentication). Gabe in this Answer.

也可以查看这些链接:
Is it advisable to store a hashed password in a cookie?
Secure hash and salt for PHP passwords

关于php - 在 Lithium session 中存储密码安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14303993/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com