Quando si tratta di ricordati di me biscotti, ci sono 2 approcci distinti:Hash o token per i cookie "ricordami"?
hash
Il ricordi di me cookie memorizza una stringa che può identificare l'utente (ad esempio User ID) e una stringa che può dimostrare che l'utente identificato è quello che finge di essere, di solito un hash basato sulla password dell'utente.
Gettoni
Il ricordi di me cookie memorizza un casuale (senza senso), ma stringa univoca che corrisponde con un record in un gettoni tavolo, che memorizza un ID utente.
Quale approccio è più sicuro e quali sono i suoi svantaggi?
L'intuizione suggerisce che le stringhe casuali usa e getta devono essere più sicure delle stringhe deterministiche prodotte da un algoritmo ma suppongo che tu voglia dei riferimenti. E l'intuizione non è sempre giusta comunque. –
Perché questo taggato è Ruby? –
Per chiunque trovi questo, leggi: [Best Practice di cookie persistenti di accesso] (http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/).Fondamentalmente, devi anche hash i token nello stesso modo in cui hai una password. –