隨便紀錄吧,這篇先不花時間深入
也沒有太多實作內容能參考
OWASP 建議 密碼應該
- 加 unique salt、加密
Argon2是最好的選擇
- 避免 Predictable tokens
Math.random()is predictable inV8, so it shouldn’t be used for token generation
- Bad storage 要確保 reset toke 別被隨便拿到
- No token expiry, reset toke 要有期限
- secondary data verification. 有第二個問題,會更有防護
API 要做防護 例如
- JWT
避免「字點暴力破解」密碼