散列“记住我”的最佳方式Cookie令牌 [英] Best way for hashing a "remember me" cookie token
本文介绍了散列“记住我”的最佳方式Cookie令牌的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我想根据此处提供的指南实施记住我功能:基于表单的网站认证的确定指南,并在此处: http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
似乎cookie令牌应该当存储在DB中时进行哈希处理(如果攻击者可以访问数据库,则取消隐藏的令牌看起来像普通登录/密码,允许在网站上登录)。
一个好的散列算法,我发现这个推荐的技术使用 bcrypt : http://stackoverflow.com/ a / 6337021/488666
我试过了,发现提议的轮次数(15)会导致非常慢处理时间(在Intel Core 2 Duo E8500 + 4 GB RAM上的散列2,3s +验证2,3s)
我知道哈希算法应该相对缓慢阻止攻击者,但在这个级别,它阻碍用户使用网站:)
你认为较少的轮