[PHP-users 17536] Re: Sessionをつかったログイン情報の保存

[河本 剛志]

河本です。

直接的にPHPでは無いですが、認証についての事という事で流させて頂きます。

DBにパスワードをハッシュ化して、入れる認証方式で、チャレンジ/レスポンス
認証がありますね。

1. サーバ側でランダムな文字列(チャレンジ)を生成し、クライアントへ送信する。
2. クライアントがパスワードを入力。それをハッシュ化する。
3. ハッシュ化されたパスワードとチャレンジを結合して、ハッシュ化する。
4. ハッシュ化された文字列をサーバへ送信する。
5. DBに保持したハッシュ化されたパスワードと、送信したチャレンジを結合して、
　ハッシュ化する。
6. 受け取った文字列とサーバ側で作成した文字列を照らし合わせ、真の場合は認証成功

こういうのを見ると、やっぱりハッシュ化にてDBに置いておくべきなのかなぁと
思ったりもします。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
_/
_/    ariela.ath.cx administrator
_/        takeshi kawamoto 
_/                         <ipnet ＠ boreas.dti.ne.jp>
_/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_