我剛讀了以下內容:爲什麼我應該存儲持久登錄cookie和密碼重置令牌的散列?
,不要在數據庫中存儲持久登錄cookie(TOKEN),只有IT哈希!登錄令牌是密碼等效的,因此如果攻擊者在您的數據庫上獲得了他的手,他/她可以使用這些令牌登錄到任何 帳戶,就像它們是明文登錄密碼組合一樣。 因此,在存儲 持久登錄標記時使用強烈的醃製散列(bcrypt/phpass)。
(在這個答案:https://stackoverflow.com/a/477578/943102)
我認爲哈希應該因爲人在多個網站使用相同的密碼,並阻止攻擊者闖入同一用戶的其它賬戶中使用。由於登錄令牌是隨機值,因此此風險不存在。我明顯錯過了一些東西,但我無法找到關於此的更多信息。有人可以解釋嗎?
謝謝。這是多麼明顯,我沒有想到它,這真是一種恥辱。 –
沒問題。我很高興你正在閱讀基於網站認證的權威指南。我從中學到了很多東西。 – austin