Я пытаюсь реализовать «запомнить» особенность, следуя инструкциям, представленная здесь: The definitive guide to form-based website authentication и здесь: http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/Лучший способ для хеширования «запомнить меня» печенье токенов
Оказывается, что " маркер cookie "должен быть хэширован, когда он хранится в БД (если у злоумышленника есть доступ к БД, незащищенные жетоны выглядят как простой логин/пароли, позволяющие войти на веб-сайт).
Ищет хороший алгоритм хеширования, я нашел эту рекомендованную технику, используя Bcrypt: https://stackoverflow.com/a/6337021/488666
Я попробовал его и обнаружил, что с количеством раундов предложенным (15) приводит к очень медленное время обработки (хэш 2,3 с + проверка 2,3 с на процессоре Intel Core 2 Duo E8500 + 4 ГБ)
Я знаю, что алгоритмы хэширования должны быть относительно медленными, чтобы препятствовать атакующим, но на этом уровне он мешает пользователей использовать сайт :)
Считаете ли вы, что меньше раундов (например, 7, что снижает время обработки до 10 мс + 10 мс) будет достаточно?
Возможный дубликат [Что является лучшим способом реализовать «запомнить меня» для веб-сайта?] (Http://stackoverflow.com/questions/244882/what-is-the-best-way-to-implement- помните-мне-для-веб-сайта) – symcbean
Использование хэша - это дорогостоящая трата времени для этого - используйте случайное значение – symcbean
Рекомендации по эффективной практике/андерсеры/статьи настоятельно рекомендуют хэш-маркер в БД; Я просто ищу подходящий совет для этого. –