これは、クッキーを使って値を比較するだけの場合に、ユーザーごとに別の「パスワード」または認証値を保存することです。クッキーが何らかの形で盗まれた場合、本当のパスワードとは何の関係もありません。永久セッション/ 2番目のパスワードは良いアイデアですか?
重要な操作については、パスワードの変更などのように、ユーザーは自分のパスワードとその有効性と元のパスワード(塩漬け、暗号化されたものなど)を提供する必要があります。
これは、クッキーを使って値を比較するだけの場合に、ユーザーごとに別の「パスワード」または認証値を保存することです。クッキーが何らかの形で盗まれた場合、本当のパスワードとは何の関係もありません。永久セッション/ 2番目のパスワードは良いアイデアですか?
重要な操作については、パスワードの変更などのように、ユーザーは自分のパスワードとその有効性と元のパスワード(塩漬け、暗号化されたものなど)を提供する必要があります。
IMOパスワードとセッション/自動ログインクッキーが何らかの形で関連する理由はありません。そう、はい、私はそれらを完全に別々にするでしょう。私は通常、クッキー内でランダムな値を使用して、サーバー側のデータをそれに関連付けます。これにより、サーバー側からクッキーを無効にすることもできます。
あなたの質問は本当に明確ではありませんが、パスワードをクッキーに入れないでください。
あなたはちょうど1つのパスワードが必要です。
「永続的な」クッキーを使用する1つの解決策は、セッションに時間制限を設けることです。その制限に達すると、パスワードは重要なことを実行するために必要です(アカウントへのアクセス、メールの参照、パスワードの変更など)。 )
CodesInChaosで述べたように、クッキーは単なる乱数です。しかし、その番号が良いランダムジェネレータ(つまり、非常に良いエントロピーを持っていると言うOpenSSL関数)によって生成されていることを確認する必要があります。