Dom*_*nic 3 php encryption passwords cookies hash
所以我有这个黑盒认证方法,从账户人传给我,基本上相当于ldap_bind($connection, $username, $password).但是,当然,我希望我的用户能够一次登录30天.
处理这种情况的天真但不安全的方法是将用户名和密码存储在明文cookie中,然后在每次用户访问时使用我的黑匣子验证这些.
在通常的工作原理,但确实是因为我的黑盒子不是办法就是存储用户的数据库中的密码(或存储它哈希?),并存储在cookie中的散列版本,然后比较这两个值.这在这里不起作用,因为我的黑匣子需要实际密码,而不是哈希密码.
我目前的想法是某种加密(与散列相反).但由于这显然是一个常见的问题,我认为我最好首先询问是否有更好的解决方案,或者如果没有,你会建议加密/解密方法.
这不会真正回答你的问题,但你不应该存储你的用户密码,甚至不加密.
如果你真的必须这样做,并且用户明白你正在这样做.然后将密码存储在应用程序的数据库中(当然是加密的),然后向用户发送带有哈希值的cookie.当用户想要登录时,将哈希与您存储的内容进行比较,然后将未加密的密码发送到ldap.切勿将密码(甚至未加密)发送到用户的计算机.
再次,这是一个非常糟糕的做法.如果ldap不允许你存储会话/密码,那么可能有充分的理由.
| 归档时间: |
|
| 查看次数: |
2286 次 |
| 最近记录: |