Un excellent article sur comment sécuriser l’authentification. En résumé :
- utiliser password_hash sur les mot de passes avant de les sauvegarder en base de données
- utiliser password_verify pour vérifier si le mot de passe donné correspond à celui sauvegardé
- utiliser RandomLib pour générer des token
- utiliser hash(‘sha256’, $token) sur le token avant de le sauvegarder en base de données
- sauvegarder l’ID et le token dans un cookie:
- utiliser l’ID pour trouver le token en base de donnée
- utiliser hash_equals pour vérifier si le token donné correspond à celui sauvegardé
Commentaires
Vous devez
vous inscrire
ou
vous connecter
pour poster un commentaire