>> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш. А >> на стороне сервера считаешь хэш от логина, пароля, подсети и salt и >> смотришь, равен ли он тому, что пришёл в куках. Суёшь в авторизационную куку логин пользователя, время жизни авторизации, salt, и хэш от логина, пароля, подсети, времени жизни, salt и секретного ключа.
В учебнике так пишут :) При известной усидчивости можно даже скользящий ключ реализовать (два ключа, ротация, проверяются оба, для генерации очередной куки используется более новый). > Я не специалист по криптографии, но насколько понимаю просто хэша тут > недостаточно, нужен HMAC. Со всей очевидностью - да. _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru