Nie jestem pewien, czy powinienem zamieścić to na nim security lub/stackoverflow, ponieważ martwię się bezpieczeństwem i wydajnością.Prawidłowe zarządzanie plikami cookie
Próbuję znaleźć wiarygodne źródło zarządzania plikami cookie. Czytałem przez OWASP, więc z grubsza wiem, co może być niebezpieczne.
Ale muszę uwierzytelnić użytkowników za pomocą plików cookie. Czy istnieje kompletny przewodnik krok po kroku?
Co zrobiłem:
wygenerować losowy ciąg znaków i niepowtarzalny.
współpracownik losowy ciąg z użytkownikiem w mojej pamięci podręcznej rndstring -> użytkownik
utworzyć bezpieczne i podpisany ciasteczko. value = hash (rndstring + secret) | rndstring
jeśli użytkownik wróci, sprawdzam, czy hashe pasuje, i czy rndstring znajduje się w mojej pamięci podręcznej.
jeśli tak, uzyskaj użytkownika.
Myślę, że moje podejście jest wadliwe, ponieważ zrobiłem to sam.
Kolejny problem polegał na tym, że zabezpieczyłem obiekt użytkownika przed db w mojej pamięci podręcznej. Jeśli użytkownik zaktualizuje swój profil, będę musiał również zaktualizować pamięć podręczną.
Używam java z ramką play2 + mongoDB.
Jakie zasoby możesz polecić mi?
+1 za "Myślę, że moje podejście jest wadliwe, ponieważ zrobiłem to sam". –