W4=

Un excellent article sur comment sécuriser l’authentification. En résumé :

  1. utiliser password_hash sur les mot de passes avant de les sauvegarder en base de données
  2. utiliser password_verify pour vérifier si le mot de passe donné correspond à celui sauvegardé
  3. utiliser RandomLib pour générer des token
  4. utiliser hash(‘sha256’, $token) sur le token avant de le sauvegarder en base de données
  5. sauvegarder l’ID et le token dans un cookie:
    • utiliser l’ID pour trouver le token en base de donnée
    • utiliser hash_equals pour vérifier si le token donné correspond à celui sauvegardé

Commentaires

Vous devez vous inscrire ou vous connecter pour poster un commentaire