Cuando se trata de me recuerda galletas, hay 2 enfoques distintos:Hashes o tokens para "recordarme" las cookies?
Hashes
El remember me cookie almacena una cadena que puede identificar al usuario (es decir, ID de usuario) y una cadena que puede probar que el usuario identificado es el que pretende ser, generalmente un hash basado en la contraseña del usuario.
Fichas
El remember me cookie almacena de forma aleatoria (sin sentido), sin embargo cadena única que se corresponde con un registro en una tabla fichas, que almacena un ID de usuario.
¿Qué enfoque es más seguro y cuáles son sus desventajas?
La intuición sugiere que las cadenas aleatorias desechables deben ser más seguras que las cadenas deterministas producidas por un algoritmo, pero supongo que desea algunas referencias. Y la intuición no siempre es correcta de todos modos. –
¿Por qué está etiquetado Ruby? –
Para cualquiera que encuentre esto, lea: [Buenas prácticas de cookies de inicio de sesión persistentes] (http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/).Básicamente, también necesita hash los tokens de la misma manera que hash una contraseña. –