对于我正在处理的应用程序,我需要生成一个必须具有以下属性的会话令牌:
我正在考虑使用加密随机数来调整Guid结构,但这可能是一种过度杀伤力.有人知道/创建了适合所有这些属性的数据结构吗?
网站安全:用户登录新鲜或密码从cookie中提取并登录(如果煮熟的密码无效,则拒绝).+多次登录失败会导致拒绝.
密码是md5哈希并用随机数盐化.
我的问题是,这不合适吗?
我明白这不是很安全.有人可以访问用户的cookie,破解散列cookie,然后知道用户密码.
但是,它是否相当安全,并且在任何地方存储纯文本密码都是不道德的,这在某种程度上是不道德的吗?