我知道如何在服务器上存储密码,但是会自动登录服务器的客户端呢?这里最好的方法是什么?我应该存储哈希密码,并让服务器双哈希?我应该加密吗?有哪些选择?
此软件将是开源软件,因此使用的任何密钥都是公开的。
编辑:
这实际上是一个计算机程序。我可以毫无问题地发送类似MAC地址的内容。
答案 0 :(得分:1)
这一切都取决于您想要达到的安全级别:-) 另请参阅此处详细讨论此主题:Designing a secure auto login cookie system in PHP
编辑:更加详细http://jaspan.com/improved_persistent_login_cookie_best_practice 关于整个主题的另一个非常好的帖子:The definitive guide to form-based website authentication看第二部分
答案 1 :(得分:-2)
就我而言,cookie足够安全,可以用明文保存密码。如果您有XSS泄漏或有人将其保存在公共计算机上,这只是一个问题,因此其他人可以查找它。
在这种情况下,我会选择你在clientide上使用hash建议的解决方案和在服务器端使用double hash。
编辑:我刚刚意识到,当使用(不安全的)WLAN时,它们可以被轻松读出,所以现在以明文形式保存它们似乎是一个坏主意。