Sto cercando di implementare un "ricordi di me" caratteristica, seguendo le indicazioni fornite qui: The definitive guide to form-based website authentication, e qui: http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/Il modo migliore per hashing un "ricordati di me" cookie di token
Sembra che il " cookie token "deve essere sottoposto a hash quando archiviato in DB (se un utente malintenzionato ha accesso al DB, i token unhashed hanno l'aspetto di semplici login/password, consentendo l'accesso al sito Web).
ricerca di un buon algoritmo di hashing, ho trovato questa tecnica consigliata utilizzando bcrypt: https://stackoverflow.com/a/6337021/488666
ho provato e scoperto che con la quantità di giri proposto (15) porta ad una molto tempo di elaborazione lento (hash 2,3s + verifica 2,3s su Intel Core 2 Duo E8500 + 4 GB RAM)
So che gli algoritmi di hashing dovrebbero essere relativamente lenti per ostacolare gli aggressori, ma a quel livello, ostacola utenti di utilizzare il sito Web :)
Pensi che meno colpi (ad es. 7, che riduce il tempo di elaborazione a 10 ms + 10 ms) sarà sufficiente?
possibile duplicato di [Qual è il modo migliore per implementare "ricordami" per un sito web?] (Http://stackoverflow.com/questions/244882/what-is-the-best-way-to-implement- remember-me-for-a-website) – symcbean
L'uso di un hash è una perdita di tempo molto dispendiosa per questo: utilizzare un valore casuale – symcbean
Documenti/articoli anwser/articoli consigliabili per hash il token nel DB; Sto semplicemente cercando consigli su un modo appropriato per farlo. –