Re: Passwortverwaltung
- From: "Sven Lanoster" <SvenLanoster@xxxxxx>
- Date: 13 Sep 2011 15:22:25 GMT
Carsten Krueger schrieb:
Am 12 Sep 2011 22:22:35 GMT schrieb Sven Lanoster:
Da gibt's aber ein neues Problem. HTTP ist stateless. Sprich, ich
muss mir das User-PW irgendwo merken.
im RAM, markiert als Nicht-Auslagerbar.
Ich habe einen Apachen, PHP, mySQL und mit etwas Glück noch CGI. Also
kann ich nicht einfach mal Speicher anfordern und beim nächsten Zugriff
wiederfinden.
Per Keks erscheint mir nicht so schlau. Also geb ich dem User eine
zufällige SID per Keks.
Und merk mir das PW in der SID-Tabelle. Aber dann würde wieder das
PW im Klartext in der DB stehen.
Das entschlüsselte Passwort hat nichts in einer DB zu suchen.
Richtig, deswegen verschlüssel ich das Passwort ja mit dem Server-Key.
Dann kann ich beim nächsten Zugriff mit der SID aus dem Keks den User
wiedererkennen, der Server kann das PW mit seinem Schlüssel
entschlüsseln und dann mit seinem Schlüssel+User-PW die gespeicherten
Passworte des Anwenders im Klartext ausliefern.
MfG,
Sven.
.
- References:
- Passwortverwaltung
- From: Sven Lanoster
- Passwortverwaltung
- Prev by Date: Re: Passwortverwaltung
- Next by Date: Re: Kleine Sendungen
- Previous by thread: Re: Passwortverwaltung
- Next by thread: Re: Passwortverwaltung
- Index(es):
Relevant Pages
|
