PHP-система на основе токенов

Question

Я создаю систему входа, и я хочу, чтобы она была безопасной, чтобы я мог повторно использовать ее для нескольких проектов. Я использую функцию ниже, чтобы зашифровать данный пароль с помощью моего секретного ключа (32 символа).

function Encrypt($key, $payload) 
{ 
    $iv = mcrypt_create_iv(IV_SIZE, MCRYPT_DEV_URANDOM); 
    $crypt = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $payload, MCRYPT_MODE_CBC, $iv); 
    $combo = $iv . $crypt; 
    $garble = base64_encode($iv . $crypt); 
    return $garble; 
} 

Мой IV_SIZE заключается в следующем:

mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)) 

Прежде чем спросить я не позволяют пользователям вводить пароль. Я генерирую очень сложный и длинный пароль для них со всем внутри (в верхнем, нижнем регистре, цифрами и символами). Я также внедрил систему запретов, которая позволяет вставлять неверный пароль в течение ограниченного количества раз, и, как если бы этого было недостаточно, я также блокировал всю учетную запись, чтобы вы не могли попробовать снова, даже если срок действия запрета истек.

Это функция расшифровывать все еще довольно стандартны:

function Decrypt($key, $garble) 
{ 
    $combo = base64_decode($garble); 
    $iv = substr($combo, 0, IV_SIZE); 
    $crypt = substr($combo, IV_SIZE, strlen($combo)); 
    $payload = mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv); 
    return $payload; 
} 

Говорит, что это 2 часа, что я пытаюсь выяснить, что это лучший подход к выдаче Войти сессию/куки. Я хочу использовать подход, основанный на токенах, как показано ниже.

Как только логин будет успешным, я хочу сохранить в cookie первую часть хэша. Весь хэш хранится в моей БД и уникален. Вторая часть будет чем-то вроде соли + sha/md5/base64 (...) идентификатора пользователя, электронной почты, метки времени и т. Д. Это хороший подход?

Answer 1

No.

Если вам не нужно иметь доступ к обычному тексту паролю (например, если это пароль для настроенного сервера SMTP, который вы используете), вы не должны шифровать пароли, но хэша их.
И используйте password_hash() (bcrypt) для их использования; он специально разработан для этой цели.

Кроме того, не ясно в вашем вопросе, что эти хэш для, но это звучит как некорректный выбор в лучшем случае - MD5 и SHA1 не должен использоваться для любого вида механизмов безопасности сегодня и если вы хотите проверить подлинность чего-то, вы должны использовать хеш-функцию с ключом, например hash_hmac().

Используйте общий сеанс PHP для поддержки состояния входа в систему.

Мне кажется, что вы слишком задумываетесь над проблемой и, в свою очередь, переоцениваете решение. Будь проще.