Здравствуйте, Anton. >> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш. А >> на стороне сервера считаешь хэш от логина, пароля, подсети и salt и >> смотришь, равен ли он тому, что пришёл в куках.
> Я не специалист по криптографии, но насколько понимаю просто хэша тут > недостаточно, нужен HMAC. > В инете на эту тему за 5 минут нашел только такую статью: > http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/ > Но встречал и более наглядные объяснения, почему нельзя в куке для > авторизации хранить просто хэш и нужен именно HMAC. Для HMAC требуется 2 параметра: key и data. В нашем случае авторизации по куке key - это salt, а data - это сконкатенированные логин, пароль, подсеть и юзерагент? Или как? -- С уважением, Михаил mailto:postmas...@softsearch.ru _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
