Re: Авторизация

Daniel Podolsky onokonem at gmail.com
Mon Jan 20 21:50:29 UTC 2014


>> Всё  просто.  Суёшь в авторизационную куку логин пользователя и хэш. А
>> на  стороне  сервера  считаешь хэш от логина, пароля, подсети и salt и
>> смотришь,  равен  ли он тому, что пришёл в куках.
Суёшь в авторизационную куку логин пользователя, время жизни
авторизации, salt, и хэш от логина, пароля, подсети, времени жизни,
salt и секретного ключа.

В учебнике так пишут :)

При известной усидчивости можно даже скользящий ключ реализовать (два
ключа, ротация, проверяются оба, для генерации очередной куки
используется более новый).

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
Со всей очевидностью - да.


Подробная информация о списке рассылки nginx-ru