आपको कभी नहीं . करना चाहिए जब तक आप . अपने डेटाबेस में सादा पाठ या यहां तक कि डिक्रिप्ट करने योग्य पासवर्ड संग्रहीत न करें उन्हें उत्पन्न किया है और उपयोगकर्ता नहीं एक कस्टम दर्ज करें!
सबसे आम तरीका कुकी में पासवर्ड का हैश स्टोर करना है जो डेटाबेस में भी है। हालांकि, यह किसी को भी केवल हैश जानने के द्वारा लॉगिन करने की अनुमति देता है - मूल पासवर्ड तक पहुंच के बिना। तो उस रास्ते पर मत जाओ, भले ही यह स्पष्ट रूप से सबसे आसान है।
एक सुरक्षित दृष्टिकोण डेटाबेस में एक यादृच्छिक, अद्वितीय "लॉगिन हैश" संग्रहीत करेगा और इस हैश प्लस को कुकी में उपयोगकर्ता की आईडी सेट करेगा। यह न केवल पासवर्ड हैश को लॉग इन करने के लिए बेकार बना देगा बल्कि आपको "हर जगह लॉग आउट" सुविधा बनाने की अनुमति देगा।
