On 21.01.2014 00:40, Михаил Монашёв wrote:
Всё просто. Суёшь в авторизационную куку логин пользователя и хэш. А
на стороне сервера считаешь хэш от логина, пароля, подсети и salt и
смотришь, равен ли он тому, что пришёл в куках.
Я не специалист по криптографии, но насколько понимаю просто хэша тут
недостаточно, нужен HMAC.
В инете на эту тему за 5 минут нашел только такую статью:
http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/
Но встречал и более наглядные объяснения, почему нельзя в куке для
авторизации хранить просто хэш и нужен именно HMAC.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
