我有一個關於認證的正常過程的問題。身份驗證過程,爲什麼在數據庫中存儲sessionID?
我google有很多,看了很多,但是仍然不能很清楚的認證過程, 實際上sessionID是什麼? 爲什麼我們將sessionID存儲在數據庫中,因爲我認爲會話ID有時會過期。爲什麼我們仍然需要存儲它們? 如果我將OAuth用於android應用程序或桌面應用程序,該怎麼辦?
更多的解釋:
例如,我用表格的用戶登錄發送「username」的和「密碼」,然後我用MD5($密碼),然後發送給所有的人。到服務器URI,是嗎?
然後Server獲取userName和passWord,然後將passWord與數據庫中的passWord進行比較,如果相同,則正確。服務器將SessionId發回給用戶,cookie將被設置。這個過程是否正確?
如果是正確的,服務器會將sessionID存儲在數據庫中,但sessionId會過期一段時間,爲什麼我們將會話ID存儲在數據庫中?
當您通過數據庫存儲會話處理時,則需要將該ID也存儲在數據庫中。通常會話存儲在磁盤上。 BTW不使用MD5作爲密碼的散列方法,現在它不安全。 –
改爲使用MD5,請使用SHA1。我可以發佈一段代碼來使用它。告訴我,如果你需要它 – MiguelHincapieC