繁体 English 中英

我应该如何在Cookie中存储用户的LDAP密码？

[英]How should I store a user's LDAP password in a cookie?

原文 2009-11-15 10:32:59 0 2 php/ encryption/ cookies/ passwords/ hash

所以我有这种黑匣子身份验证方法，它是从帐户人员那里传给我的，基本上等于ldap_bind($connection, $username, $password) 。 但是，当然，我希望我的用户能够一次登录30天。

幼稚但不安全的处理方式是将用户名和密码存储在纯文本cookie中，然后在每次用户访问时使用我的黑盒进行验证。

通常有效但不因我的黑匣子而行的方式是将用户密码存储在数据库中（或将其存储为散列的？），然后将散列的版本存储在cookie中，然后比较这些值。 这在这里不起作用，因为我的黑匣子要求输入实际密码，而不是哈希密码。

我目前的想法是某种加密（与散列相反）。 但是由于这显然是一个普遍的问题，我想我最好先问一下周围是否有更好的解决方案，或者如果没有，您对加密/解密方法的建议是什么。

2 个解决方案

这不会真正回答您的问题， 但是您不应存储用户密码，甚至不进行加密。

如果确实需要这样做，并且用户知道您正在这样做。 然后将密码存储在应用程序的数据库中（当然是加密的），然后向用户发送带有哈希的Cookie。 当用户想要登录时，将哈希与您存储的哈希进行比较，然后才将未加密的密码发送到ldap。 切勿将密码（甚至未加密）发送到用户的计算机。

同样，这是一个非常糟糕的做法。 如果ldap不允许您存储会话/密码，则可能有充分的理由。

当用户登录时，给他们一个随机生成的“会话cookie”（严格来说不是会话cookie，因为它的持续时间长于浏览会话）并存储以下元组：

user_id | cookie_id

然后将cookie_id连接起来，将user_id与您的用户表一起加入，然后退出。

我应该如何存储密码盐？

[英]How should I store a password salt?

我什么时候应该删除用户的登录Cookie？

[英]When should I remove an user's login cookie?

如何使用Bcrypt存储用户密码

[英]How do I store user password with Bcrypt

我应该如何存储用户代理数据？

[英]How should I store user agent data?

为什么要将REMOTE和FORWARDED都存储为用户的IP？

[英]Why should I store both REMOTE and FORWARDED as user's IP?

使用admin用户在PHP中重置LDAP用户的密码，而无需使用旧密码

[英]Resetting a LDAP user's password in PHP, without the old password, using admin user

我是否需要在 PHP ldap_bind() 中转义用户密码？

[英]Do I need to escape a user password in PHP ldap_bind()?

设置新LDAP用户的密码

[英]set password for new LDAP user

如何将用户喜欢的页面数据存储到Mysql数据库中

[英]How should I store the data of the liked pages by a user into Mysql database

我应该如何在服务器上存储用户帐户文件？

[英]How should I store files of user accounts on the server?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 我应该如何存储密码盐？我什么时候应该删除用户的登录Cookie？如何使用Bcrypt存储用户密码我应该如何存储用户代理数据？为什么要将REMOTE和FORWARDED都存储为用户的IP？使用admin用户在PHP中重置LDAP用户的密码，而无需使用旧密码我是否需要在 PHP ldap_bind() 中转义用户密码？设置新LDAP用户的密码如何将用户喜欢的页面数据存储到Mysql数据库中我应该如何在服务器上存储用户帐户文件？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM