Discussion :

[moimp]

Bonjour à tous,

Il existe une multitude de tutos sur le hachage de mots de passe mais je ne trouve rien sur la connexion automatique. Ma difficulté vient du hachage aléatoire. En effet, comment contrôler si un mot de passe haché en cookie correspond à celui enregistré dans la base de données si après hachage les deux mots de passe ne sont pas identiques.

Voici mon code de hachage:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
		$options = ['cost' => 11];
		$password = trim($_POST['mdp']).trim($_SESSION['abo']['id_abo']).trim($_POST['code']);
		$toSave['mdp'] = password_hash($password, PASSWORD_BCRYPT, $options);

En connexion manuelle, j'utilise password_verify, mais comment faire en connexion auto?

[sabotage]

si après hachage les deux mots de passe ne sont pas identiques

Deux hashs du même mot de passe ne peuvent pas être différents.

Par contre il n'est pas recommandé de construire un token à partir d'élément personnels de l'utilisateur comme son id, son mot de passe etc.
Il vaut mieux construire un token neutre.
Un article très intéressant :
http://jaspan.com/improved_persisten..._best_practice

[moimp]

Bien sûr, je vais étudié les articles selon tes conseils, ce que je n'ai pas encore fait.

Deux hashs du même mot de passe ne peuvent pas être différents.

Après de nombreux essais, le même mot de passe produit des hashs différents. Je pense que cela est du au sel aléatoire de password_hash().

[Invité]

Bonjour,

En connexion manuelle, j'utilise password_verify, mais comment faire en connexion auto?

Pareil.