我不确定是否应该将其发布在安全性或/stackoverflow 上,因为我担心安全性和性能。
我正在尝试寻找可靠的 cookie 管理来源。我读过OWASP,所以我大致知道什么是危险的。
但我需要使用 cookie 对我的用户进行身份验证。有完整的分步指南吗?
我做了什么:
生成一个随机且唯一的字符串。
将随机字符串与我的缓存 rndstring -> 用户中的用户相关联
创建一个安全且签名的 cookie。值=哈希(rndstring+秘密)|rndstring
如果用户回来,我检查哈希是否匹配,以及 rndstring 是否在我的缓存中。
如果是,请获取用户。
我认为我的方法有缺陷,因为我是自己做的。
另一个问题是我从缓存中的数据库中保护了用户对象。如果用户更新他的个人资料,我还必须更新缓存。
我正在将 java 与 play2 框架 + mongoDB 一起使用。
有什么资源可以推荐给我?