我想知道我用于通过令牌登录我网站的实现是否安全。
在php中实现:
我们希望能够通过令牌登录的每个用户都有一个带有令牌的表。 这个令牌是由php函数生成的:bin2hex(random_bytes(32))和bcrypted,然后使用相同的盐存储在令牌表中。
在加密之前生成的令牌通过电子邮件发送给具有整个网址的用户,例如:https://example.com/login-token.php?token=aa11aa11aa11aa11aa11aa11aa11aa11
然后当用户尝试通过url登录时,我们将令牌(使用相同的盐)加密并在数据库中搜索该令牌。如果存在,我们验证用户并从表中删除令牌。
它是否安全?