Вот обычный подход к сохранению пароля с помощью хеширования.
В чем разница между созданием хеша и его проверкой?
- Возьмите простой текстпароль, добавьте случайную соль, затем сохраните соль и хешированный пароль в базе данных.
- Когда пользователь хочет войти в систему, вы берете его введенный пароль, добавляете случайную соль из информации его учетной записи, хешируете ее.и посмотрите, приравнивается ли он к сохраненному хеш-паролю с информацией об их учетной записи.
Если соль случайная, каждый раз, вам не нужен токен для проверки паролей, отличных от имени пользователя?
Если вы видите # 2, токен может потребоваться для сеансовых целей, но не для аутентификации (проверка, является ли пользователь легитимным.)
Есть хорошие вопросы того же предмета.Есть хорошие рабочие примеры , относящиеся к тем же, которые вы могли бы использовать.