0
在我的web應用程序我處理身份驗證方式如下:我的身份驗證方法是否安全/需要改進?
用戶輸入自己的電子郵件地址和密碼
搜索用戶在數據庫中,比賽bcrypt加密的密碼?
如果是這樣,一個新的會話記錄被存儲在數據庫中,它是用戶ID和一個128位的隨機密鑰。此密鑰也以「安全」,「僅限http」cookie的形式存儲在客戶端。
每當用戶向Web應用程序發出請求時,該鍵就是在db中搜索會話的引用。如果有一個會話 - >認證。
會話是一定量的時間(例如3小時)
注後刪除:所有請求都是SSL加密。
您是否發現此驗證過程中存在任何缺陷?在處理這件事時會有什麼危險?
謝謝!
Elias