Страницы

Поиск по вопросам

воскресенье, 12 января 2020 г.

Авторизация и сессии [закрыт]

#веб_программирование #php #пароль #сессия #авторизация


        
             
                
                    
                        
                            Закрыт. На этот вопрос невозможно дать объективный ответ.
Ответы на него в данный момент не принимаются.
                            
                        
                    
                
                            
                                
                
                        
                            
                        
                    
                        
                            Хотите улучшить этот вопрос? Переформулируйте вопрос,
чтобы на него можно было дать ответ, основанный на фактах и цитатах, отредактировав его.
                        
                        Закрыт 4 года назад.
                                                                                
           
                
        
Подскажите, как в наше время делают авторизацию и где хранят сессии. Давно не занимался
сайтами, возможно отстал от прогресса.
Собственно:

Храню пароль в виде md5($salt.$pass.$salt). Вроде их уже легко ломают?
sessionhash=md5(uniqid(microtime()));
Сессии хранятся в таблице MySQL в sissionid, userid, sessionhash
sissionid и sessionhash отдаются в куках.

Как сейчас это делается?    


Ответы

Ответ 1



Данные, хранящиеся на стороне пользователя, надо зашифровать ключом, хранящимся на сервере. Тут это разбирается на примере Node.JS и для PHP: Раз и Два

Ответ 2



По пункту 1: В настоящее время существуют очень эффективные реализации перебора хэшей. Поэтому даже длинные пароли, подвергнутые однократному хэшированию, перестали быть безопасными. В версии php 5.5 реализован алгоритм PBKDF2. Его рекомендууется использовать для получения устойчивых хэшей. http://php.net/manual/ru/function.hash-pbkdf2.php.

Ответ 3



Советую посмотреть в сторону фреймворка CodeIgniter. Всё удобно, защищено и очень просто. + Есть библиотека аутентификации и регистрации.

Комментариев нет:

Отправить комментарий