ここで提供されるガイドラインに従って、 「 remember me 」機能を実装しようとしています:フォームベースのWebサイト認証の決定的なガイド、およびここ: http: //fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
「Cookieトークン」はDBに保存するときにハッシュ化する必要があるようです(攻撃者がDBにアクセスできる場合、ハッシュ化されていないトークンはプレーンなログイン/パスワードのように見え、Webサイトにログインできます)。
良いハッシュアルゴリズムを探して、bcryptを使用してこの推奨されるテクニックを見つけました:https ://stackoverflow.com/a/6337021/488666
私はそれを試してみましたが、提案されたラウンド数(15)では、処理時間が非常に遅くなることがわかりました(Intel Core 2 Duo E8500 + 4 GB RAMで2,3秒をハッシュ+検証2,3秒)
ハッシュアルゴリズムは攻撃者を妨げるために比較的遅いはずですが、そのレベルでは、ユーザーがWebサイトを使用するのを妨げます:)
より少ないラウンド(たとえば、処理時間を10ms + 10msに短縮する7)で十分だと思いますか?