我已经简单地编写了2个cookie,一个包含用户ID,第二个包含密码的1/2 SH1哈希值(加盐)。它的工作原理是不言自明的。
我意识到我并没有以最安全的方式进行此操作。有什么更好的方法吗?最好使用单个身份验证cookie。
另外,使用“难以计算的哈希”有什么意义吗?我的意思是,使用bcrypt或使用whirlpool对每个项进行10000次哈希运算,使其成为(相对)缓慢的哈希函数(200毫秒与少于1毫秒的普通SHA1),这样做有意义吗?我的意思是,如果有人入侵您的数据库并获取哈希值......还有什么需要保护的呢?因为所有数据都在同一个数据库中(除非您拥有某种去中心化设置,但我没有)。