1
當您想要與用戶一起登錄時,您會發送一個POST請求到http://localhost:5984/_session並獲取一個cookie。此cookie默認有效10分鐘,並存儲在我的$_COOKIE變量中。如何檢查用戶令牌在CouchDB中是否仍然有效?
在我的場景中,我希望用戶能夠根據他登錄的事實(例如,具有有效令牌)與我的網站進行交互。我的問題是如何檢查用戶cookie是否仍然對我的CouchDB有效?
A
回答
2
從here借用:
CouchDB的餅乾算法(查看源)基本上是
data = username + ':' + timestamp; base64(data + ':' + sha_mac(data, secret))。其中secret是couch_httpd_auth.secret值加用戶的鹽值。
這意味着如果您只想檢查時間戳,您可以Base64解碼cookie,然後從結果中提取時間戳,並與當前時間進行比較。
如果您想實際驗證cookie有效(即不僞造),您需要知道用戶的密碼salt和服務器密碼。如果這是客戶端應用程序,那很危險。即使它是一個服務器應用程序,它也會將敏感信息放在更多的地方,這會帶來額外的安全風險。這些風險是否值得,取決於你和你的實施。
相關問題
- 1. 如何檢查訪問令牌是否仍然有效?
- 2. JavaScript Boolean檢查Google Auth令牌是否仍然有效?
- 3. 檢查用戶令牌是否有效使用Twitter Api
- 4. WSO2 - 檢查訪問令牌仍然有效
- 5. 提前刷新訪問令牌時,舊訪問令牌是否仍然有效?
- 6. 如何檢查內存分配是否仍然有效?
- 7. Facebook應用令牌仍然有效\用戶令牌過期後可用嗎?
- 8. 如何檢查用戶是否仍然存在?
- 9. 如何檢查CGWindowID仍然有效
- 10. 是否仍然有效?
- 11. Sharekit是否仍然有效?
- 12. 典雅地檢查HTTPSession引用是否仍然有效
- 13. Facebook:用戶訪問令牌在用戶註銷後仍然有效?
- 14. 如何檢查用戶是否仍然活動?
- 15. 如何在C#中檢查用戶帳戶是否有效
- 16. 在每個控制器調用中是否存在一個鉤子來檢查用戶是否仍然有效?
- 17. 如何在rails測試中訪問oauth_access_tokens以檢查用戶是否有令牌
- 18. 如何使CouchDB中的用戶令牌失效?
- 19. 如何檢查用戶是否已經分配了JWT令牌?
- 20. Python - 如何檢查是否仍然有弱引用
- 21. 檢查一個URL是否仍然有效或永久移動
- 22. 檢查自動更新訂閱是否仍然有效
- 23. Facebook客戶端流程是否仍然提供訪問令牌?
- 24. 檢查用戶是否在Django Restframework中被分配了令牌
- 25. 使用jwt檢查令牌是有效還是無效
- 26. 檢查會話是否仍然存在
- 27. 檢查歌曲是否仍然存在
- 28. Symfony檢查用戶是否仍在線
- 29. iPhone Objective-C OAuth:一種更優雅的方式來檢查請求令牌是否仍然有效?
- 30. 如何使用Google Drive的REST API檢查訪問令牌是否有效?
偉大的建議,但我認爲這不是我應該執行的,因爲你提到的缺點。如果您只想在登錄用戶的上下文中運行服務器端操作(例如,函數),您會親自使用此方法嗎? – Magiranu
@Magiranu:我可能只是用CouchDB服務器('GET/_session')檢查令牌,讓CouchDB驗證它。如果引入性能問題,可以將其緩存在服務器上。我會第一次做查找,然後緩存時間戳和完整的cookie;那麼你不需要爲每個請求重新驗證cookie,並且仍然可以信任時間戳(因爲完整的令牌先前已經過驗證) – Flimzy
對於「檢查令牌」,您意味着在GET請求中通過頭部發送cookie ? (Souce:http://docs.couchdb.org/en/2.1.0/api/server/authn.html#get--_session) – Magiranu