Является ли PEAR Auth действительно приемлемым вариантом для аутентификации PHP? - PullRequest
4 голосов
/ 08 августа 2011

Глядя на Как безопасно хранить пароли моих пользователей? , лучший способ зашифровать пароли - использовать phpass.Я хочу использовать пакет PEAR Auth для аутентификации, но PEAR поддерживает только md5, sha1, sha256, sha512, а PEAR не добавляет соль в хеш.

PEAR Auth также не поддерживает многие функциикоторые перечислены в Как выбрать библиотеку аутентификации для CodeIgniter?

  • Поддерживается reCAPTCHA
  • Электронные письма активации
  • Срок действия неактивированных учетных записей автоматически истекает
  • Использует phpass для хеширования (а также хеширует коды автологинов в БД)
  • Очень разумная модель безопасности при неудачных попытках входа в систему (хорошая защита от ботов и DoS-атак)
  • "Запомнить меня "функциональность

Мой вопрос: действительно ли PEAR Auth является жизнеспособным выбором?Кажется, использовать его, мне придется написать все недостающие функции самостоятельно. Существует ли лучшая, более функциональная библиотека Auth, которая не заключена в каркас ?Мне просто нужна базовая безопасная аутентификация для моего простого веб-приложения.

1 Ответ

0 голосов
/ 08 августа 2011

Если речь идет только о хешировании пароля, я бы рекомендовал использовать bcrypt .Как вы можете использовать его в PHP, уже обсуждается .

...