我有一个用户表,其中包含字段密码,盐,令牌(显然还有其他但这是最重要的).注册后,它会生成一个随机盐和一个随机令牌,并在密码字段中输入：

hash("sha256",$theirpostpassword.$randomgeneratedsalt);

随机生成的salt和令牌存储在表中该用户行的各自字段中.

因此,在登录时,我只使用他们指定的用户名从用户行中选择salt.然后我做一个计数查询,查看有多少行的帖子密码与他们的特定盐连接,然后我将它们登录.很确定我有那个部分.

现在我想在每个页面上验证他们的登录我会在每个页面上运行一个函数来检查他们的cookie,看看id-username-token的格式是否与数据库中的行匹配.这意味着每次登录都会使用这些凭据设置其cookie.

现在,我能想到的唯一能让它变得更好的是每次有效登录都会更改令牌吗？

感谢有识之士.