當我們儲存使用者密碼的時候當然需要保存完整的雜湊結果,但有時候這個雜湊結果很長,在有些情況下顯得很臃腫。例如我想寫一個簡單的cookie防偽造程序,思路是先將cookie原始值進行mcrypt可逆加密,再將值拼上salt計算sha256並截取sha256結果的前10位接在最終cookie值的後面。驗證時只需要將cookie值拆開,解密前一段字符,併計算sha256取前10位與後面的值進行比較。這樣的做法是否安全?
當我們儲存使用者密碼的時候當然需要保存完整的雜湊結果,但有時候這個雜湊結果很長,在有些情況下顯得很臃腫。例如我想寫一個簡單的cookie防偽造程序,思路是先將cookie原始值進行mcrypt可逆加密,再將值拼上salt計算sha256並截取sha256結果的前10位接在最終cookie值的後面。驗證時只需要將cookie值拆開,解密前一段字符,併計算sha256取前10位與後面的值進行比較。這樣的做法是否安全?
密碼的hash值不應該放在cookie中,你可以另外產生token來驗證登入。
這種做法還是很常見的, 16位的md5就是先計算出32位然後截取中間16位來實現的.當然,太短了要小心被暴力破解.
