我不确定是否应该在安全性或/ stackoverflow上发布此信息,因为我关心安全性和性能。正确的cookie管理
我正在尝试查找cookie管理的可靠来源。我虽然读了OWASP,所以我大致知道什么是危险的。
但我需要使用cookie来认证我的用户。有没有完整的一步一步的指导?
我做了什么:
产生一个随机的和唯一的字符串。
联营随机字符串,在我的缓存rndstring用户 - >用户
创造一个安全,并签署饼干。 value = hash(rndstring + secret)| rndstring
如果用户回来,我检查散列值是否匹配,以及rndstring是否在我的缓存中。
如果是得到用户。
我觉得我的方法有缺陷,因为我自己做了。
另一个问题是,我从我的缓存中的数据库安全用户对象。如果用户更新他的个人资料,我还必须更新缓存。
我正在使用java与play2框架+ mongoDB。
你可以推荐我哪些资源?
+1对于“我认为我的方法有缺陷,因为我自己做了。” – 2012-08-07 08:37:03