我正在尝试实现“记住我”功能,遵循此处提供的指南:基于表单的网站身份验证的权威指南,以及此处: http: //fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
似乎“cookie令牌”在存储在数据库中时应该进行哈希处理(如果攻击者可以访问数据库,未哈希处理的令牌看起来像普通的登录名/密码,允许登录网站)。
寻找一个好的散列算法,我发现了这个使用bcrypt的推荐技术:https ://stackoverflow.com/a/6337021/488666
我已经尝试过了,发现建议的轮数 (15) 会导致处理时间非常慢(哈希 2,3s + 在 Intel Core 2 Duo E8500 + 4 GB RAM 上验证 2,3s)
我知道散列算法在阻碍攻击者方面应该相对较慢,但在那个级别上,它会阻碍用户使用网站:)
您认为更少的轮次(例如 7 轮,将处理时间降低到 10 毫秒 + 10 毫秒)就足够了吗?