Jeśli chodzi o zapamiętaj ciasteczka, są 2 różne podejścia:Hashe lub tokeny na pliki cookie "remember me"?
Hashe
zapamiętaj cookies przechowuje ciąg znaków, który może zidentyfikować użytkownika (czyli identyfikator użytkownika) oraz ciąg może udowodnić, że zidentyfikowany użytkownik jest tym, za kogo się podaje - zwykle hash oparty na haśle użytkownika.
Żetony
zapamiętaj cookies sklepów losowy (bez znaczenia), jednak unikalny ciąg znaków, który odpowiada z rekordu w tokenów tabeli, który przechowuje identyfikator użytkownika.
Które podejście jest bezpieczniejsze i jakie są jego wady?
Intuicja sugeruje, że jednorazowe ciągi losowe muszą być bezpieczniejsze niż ciągi deterministyczne tworzone przez algorytm, ale przypuszczam, że chcesz pewnych odniesień. A intuicja nie zawsze ma rację. –
Dlaczego jest to oznaczone jako Ruby? –
Dla każdego, kto to znajdzie, przeczytaj: [Trwałe logowanie - najlepsze praktyki] (http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/).Zasadniczo musisz również zaszyfrować tokeny w taki sam sposób, jak hash hasłem. –