在会话中保留用户密码哈希是否安全,例如md5?
更新:我想使用这个哈希进一步授权ajax请求,询问用户密码,我也得到了一个密钥,但我也要检查密码。
答案 0 :(得分:3)
它应该是安全的,因为客户端只能访问自己的会话值。但你应该:
但最重要的是:你真的需要你的会话中的哈希吗?如果用户已通过身份验证,则他将始终收到相同的会话(如果您的服务器配置正确)。如果你对session hijacking感到焦虑,那你就走错了路。
答案 1 :(得分:0)
您必须记住的一件事是,会话通常存储在服务器运行的硬盘上。如果有人可以未经授权访问您服务器上的任何文件,那么这些哈希值可能会受到影响。
这种风险是可以接受的,取决于你正在发展的东西。