如何存储我的用户'密码安全吗?加密密码的最佳方法是使用phpass。我想使用PEAR认证包进行身份验证,但是PEAR只支持md5, sha1, sha256, sha512,并且PEAR不向哈希添加盐。
PEAR Auth也不支持在如何为CodeIgniter选择身份验证库中列出的许多特性?
- <
- reCAPTCHA支持/gh><
- 激活邮件/gh>
- 未激活帐户自动过期
- 使用phpass进行哈希(也在DB中哈希自动编码)
- 关于失败登录尝试的非常合理的安全模型(很好地防止机器人和DoS攻击)
- "记住我"功能
我的问题是:PEAR Auth真的是一个可行的选择吗?如果要使用它,我将不得不自己编写所有缺失的功能。是否有一个更好的,功能更丰富的Auth库,而不是包装在框架?我只是想要基本的,安全的认证为我的简单的web应用程序。
如果只是关于密码散列,我建议使用bcrypt。如何在PHP中使用它已经是一个讨论的主题了。