在我的Yii2应用程序中,我使用cookie来存储用户推荐代码。用户知道他们的推荐代码是什么,我想知道是否有可能派生用于散列字符串的cookie验证密钥。此外,如果已知cookie验证密钥,可能会出现什么问题?
以下是有关Cookie的Yii2指南部分的链接,如果它有助于提供更多背景信息:http://www.yiiframework.com/doc-2.0/guide-runtime-sessions-cookies.html#cookies
答案 0 :(得分:3)
默认情况下,Yii2使用SHA-256来散列这些字符串。它非常简单irreversible。所以这不是安全漏洞。
如果有人拥有你的cookie验证密钥,他们就可以伪造一个cookie。这是真正的威胁,因此请确保您的cookie验证密钥安全。