我的两分钱，你没有忽略任何东西。你的方案是正确的。但请注意，您所做的事情并不安全。每个会话的会话 ID 应该是唯一的。为什么你可能会问？

那么建议攻击者能够窃取cookie。然后他可以以该用户身份登录。直到用户注销，因为那时会话 id 过期。但是，如果您的会话 ID 在所有会话中保持不变，则攻击者将能够继续以用户身份登录，而不管用户是否注销。

简而言之，这意味着，一旦攻击者窃取了 cookie，他将拥有该用户会话的永久密钥（除非用户更改密码）。请意识到这被认为是高风险的。这种攻击的影响可能相当大。

不要这样做。

如果攻击者通过网络嗅探会话 ID，则攻击者现在可以有效地永久访问用户帐户。同样糟糕的是，如果您知道这已经发生，您将无法使会话过期，因为您无法在没有用户密码的情况下重新生成 bcrypt 摘要。

不要试图有创意。在每次新访问时生成一个随机令牌，并在登录时重新生成它以避免会话固定攻击（攻击者将用户的会话 ID 设置为他知道的值，然后等待用户登录，然后再使用该 ID 访问站点） .

除了上面的答案，处理会话令牌对于每个会话是随机的和不同的需求，公开暴露密码哈希的盐还有另一个风险。

虽然盐并不意味着保密，但同时公开它们也不是一个好主意。这是因为知道盐的攻击者可以在获得散列密码的副本之前为这个特定的盐构建彩虹表。

当他确实获得了散列密码的副本（例如通过 SQL 注入攻击）时，他现在可以立即尝试查找他已经为其构建彩虹表的散列值。从而最大限度地减少攻击和被盗数据的实际恶意使用之间的时间。

多项式比我能更好地回答这个问题。