Security 我的身份验证方法是否安全/需要改进?
在我的web应用程序上,我通过以下方式处理身份验证:Security 我的身份验证方法是否安全/需要改进?,security,session,authentication,cookies,Security,Session,Authentication,Cookies,在我的web应用程序上,我通过以下方式处理身份验证: 用户输入他的电子邮件和密码 在数据库中搜索用户,是否匹配bcrypt加密密码 如果是这样,一个新的会话记录将存储在数据库中,其中包含用户id和一个128位的随机密钥。此外,此密钥作为“安全”、“仅http”cookie存储在客户端上 每当用户向web应用发出请求时,该键就是在db中搜索会话的参考。如果有会话->已验证 会话在一定时间后被删除(例如3小时) 注意:所有请求都是SSL加密的 您是否看到此身份验证过程中存在任何缺陷?使用此工具时会有
Elias我可以在这里看到两种DoS攻击场景