Dies ist im Grunde eine Beruhigung, dass ich die ganze Registrierung/Login-Prozess tun, so weit wie Hashing/Salzen geht.Hashing & Salting - Validierung Login mit Cookies
Ich habe eine Benutzer-Tabelle mit den Feldern Passwort, Salz, Token (offensichtlich gibt es andere, aber das ist das Wichtigste). Bei der Registrierung erzeugen sie ein zufälliges Salz, und ein zufälliges Token, und es setzt im Passwort-Feld dieser:
hash("sha256", $theirpostpassword.$randomgeneratedsalt);
Die zufällig generierte Salz und Token in ihren jeweiligen Bereichen in gespeichert werden, dass die Benutzer in der Tabellenzeile.
Also bei der Anmeldung wähle ich das Salz NUR aus der Benutzerzeile mit dem Benutzernamen sie angegeben. Ich mache dann eine Count-Abfrage, wie viele Zeilen ihre Post-Passwort mit ihren spezifischen Salz verkettet haben, und dann logge ich sie ein. Ziemlich sicher, dass ich diesen Teil habe.
Jetzt dachte ich ihre Login auf jeder Seite zu validieren ich eine Funktion lief jede Seite haben würde, die ihre Cookie überprüft, ob das Format der ID-Benutzernamen-Token finden Sie in der Zeile in der Datenbank übereinstimmt. Das bedeutet, dass bei jedem Login der Cookie mit diesen Zugangsdaten gesetzt wird.
Jetzt das einzige, was ich denken kann, um es besser zu machen, ist das Token jedes gültige Login zu ändern?
Danke für die Einsicht Jungs.
Ich würde das Token von der IP des Remote-Benutzers abhängen, aber überprüfen, dass Cookie -mit dieser Info- auf jede Anfrage scheint gut zu funktionieren. – ncuesta
Danke für die schnelle Antwort, ich war irgendwie gegen die IP-Prüfung, da ich weiß, dass es einige dynamische IP-Adressen gibt, die sich ziemlich oft ändern. –
Sie sollten das Authentifizierungssystem nicht selbst erstellen, da so viele Dinge schiefgehen können. Verwenden Sie stattdessen facebook connect/twitter Anmelden/openid etc! – Alfred