- ベストアンサー
PHP PEAR AUTH 認証でのパスワードを忘れた場合
AUTHを利用しての、認証を行う場合、usernameとpasswordの カラムを持つテーブルを参照しますが、このpasswordは MD5でハッシュした値で、テーブルに格納しなければならないようです。 この場合、パスワードを忘れてしまった際など、テーブルを 見てすぐにpasswordの値が確認できないので不便です。 なのでテーブルに格納するパスワードは平文としたいと思います。 平文でpasswordを格納しても、'cryptType'=>"none"とすれば 認証は通りますが、やはり平文では心配な所があります。 良い解決方法があれば教えてください。
- reokun5785
- お礼率70% (19/27)
- PHP
- 回答数4
- ありがとう数6
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (3)
- world99
- ベストアンサー率64% (20/31)
こんにちは。ANo.3です。 パスワード忘れ対応処理では、登録しているパスワードをメールで通知する方法が多いと思います。しかし、どのような実装方法が一般的なのかはわかりません。私が提案した方法だと、パスワード変更の際に、2つのカラムを更新しなくてはならない点以外は、問題がないはずです。新たにパスワードを発行するというANo.2のcopymasterさんが回答された方法もありだと思います。 経験を元に話をしましたので、特に参考にしたサイトはありません。すいません。 あと、私個人的な考えかもしれませんが、パスワード変更をさせない仕様というのが、少々気になります。
お礼
ありがとうございます。とても参考になりました。
- copymaster
- ベストアンサー率81% (83/102)
パスワードを忘れたのなら 忘れたパスワードを呼び出すのではなく、 パスワードを再発行するのが妥当な手段だと思います。 個人的には、たとえ管理者でも、利用者が自分で変更した生のパスワード(それはひょっとしたら他のサイトでも使っているかもしれない)を見ることができるのはいかがなものかと思っています。
補足
パスワードは、こちら側で決定します。利用者にパスワードは変更させない予定です。引き続きお願いします。
- moon_night
- ベストアンサー率32% (598/1831)
HTTPSにしてなければ平文でもMD5でもネット上でやり取りするデータは同じだからそんなに気にする必要はないと思います。 どこまでセキュリティーを高くしなければいけないかはサイトの運用次第ですし。
補足
平文でもMD5でもネット上でやり取りするデータは同じというのは、知りませんでした。では、元々、MD5はセキュリティとしは低いのでしょうか?
お礼
ありがとうございます。この発想は思いつきませんでした。 一般的には、どのようにするのが良いのでしょうか? テーブルの定義なども含めて参考サイトなどがあれば、教えてください。