此用戶身份驗證是否足夠安全？

Question

我想擺脫使用md5（）存儲和比較密碼。所以我想開始使用password_hash（）。

現在，我是如何做到這一點的，我會將用戶名和密碼的md5存儲在他們的會話或cookie中（如果他們選擇「記住我」），然後檢查數據庫以查看是否有用戶以該用戶名和md5的密碼存在。我意識到這不是很安全，這就是爲什麼我想停止這一點。

我不能再這樣做了，因爲password_hash（）總是在變化，所以我不能在他們的會話中存儲一個散列，然後在數據庫中檢查它，因爲我需要在unhashed密碼上使用password_verify。

所以我的問題是，如果我在用戶成功登錄時在用戶表中存儲散列「會話ID」和「令牌」，然後將它們與用戶ID一起按順序存儲在會話/ Cookie中用來檢查數據庫，這是否足夠安全？當我說哈希「會話ID」和「令牌」我的意思是sha256'd或隨機大數連md5'd哈希...

實例：

用戶登錄 - >散列「會話ID」和「令牌」存儲在用戶cookies/session中，並且它們在數據庫中的行用散列的「會話ID」和「令牌」更新。

用戶訪問網站 - >代碼檢查，根據他們的瀏覽器會話/ cookie變量來查看他們的「會話ID」和「令牌」是否存在於數據庫中。如果是這樣，它假定找到的行表示當前用戶。

任何有識之士將不勝感激。

Answer 1

爲了獲得最佳的密碼散列值和使用情況而簡單到代碼是例如低於...

$salts= ['cost' => 12]; password_hash("Password", PASSWORD_BCRYPT, $options);

$salts是當使用password_hash()它結合miltiple倍的陣列。

PASSWORD_BCRYPT是用「$ 2y $」標識符和blowfish加密算法散列字符串的算法。這會輸出60個混亂的字符集。

Answer 2

我會做的是當用戶登錄時，使用uinqid（）（http://php.net/uniqid）爲其登錄名生成唯一的ID，然後將其存儲在新表中。然後檢查此表以查看cookie是否與存儲在表中的uniqid匹配。

當用戶再次登錄時，您必須確保表格行已被刪除，但如果用戶在多個設備上設置記住我，則會導致問題，因此我會設置過期日期表中的每個ID，登錄腳本將：

1. SELECT * FROM 'UNIQIDS' WHERE $ current_date_and_time> '屆滿'，並刪除所有結果
2. 檢查一個cookie的存在。如果有一個和它的uniqid匹配，在計算機上創建一個會話，否則顯示登錄頁面

一旦用戶登錄：

1. 檢查，如果已經有存儲在表中的uniqid
2. 如果有一個存儲，如果當前日期和時間是過去的到期日期，刪除該行
3. 如果一個已過期生成一個新的一個新的到期日匹配您正在生成cookie的到期日。如果沒有過期，請計算從現在到過期的時間，並創建一個包含其值的cookie，並在您計算的時間內過期。

這是非常安全的，因爲它很難僞造這個cookie，並且它不會將用戶密碼信息傳遞給客戶端機器。

爲了更安全，你可以MD5你生成uniqid，但世界上沒有真正的需要，因爲它不包含重要信息。

這是相當複雜的，但如果你把它一步步來的時候，它不應該是不可能的。

祝你好運！