0
在我的web应用程序我处理身份验证方式如下:我的身份验证方法是否安全/需要改进?
用户输入自己的电子邮件地址和密码
搜索用户在数据库中,比赛bcrypt加密的密码?
如果是这样,一个新的会话记录被存储在数据库中,它是用户ID和一个128位的随机密钥。此密钥也以“安全”,“仅限http”cookie的形式存储在客户端。
每当用户向Web应用程序发出请求时,该键就是在db中搜索会话的引用。如果有一个会话 - >认证。
会话是一定量的时间(例如3小时)
注后删除:所有请求都是SSL加密。
您是否发现此验证过程中存在任何缺陷?在处理这件事时会有什么危险?
谢谢!
Elias