使用身份驗證使用2個加密字符串

Question

所以基本上我試圖用一個cookie記錄用戶，不查詢數據庫，以提高性能

這裏是一個簡單的想法：

1. 通過SSL
傳輸一切
2. 設置一個全局祕密密鑰A和祕密密鑰B
3. 生成的註冊和密碼修改
4. 加密驗證字符串以隨機驗證字符串，將其存儲在協okie
5. 加密驗證串B，其存儲在cookie的
6. 當用戶嘗試登錄時，我解密每個字符串A和B，比較，如果它們匹配

我想知道，如果它是一個好主意 如果是這樣的話：

我怎麼能在Java中使用bouncycastle ASE-256，Digest或其他什麼來進行加密？

多少時，通過在超快速DB像Redis的

存儲會話變量與認證相比，這是否加密/解密過程影響性能，如果不是： 我應該怎麼辦..

Answer 1

解密時，您可以簡單地將已知值與身份驗證數據一起加密，以驗證數據是否存在於身份驗證令牌（Cookie）中。不需要使用兩個鍵。

與數據庫的速度差異取決於數據庫配置以及執行的加密。我寧願首先選擇一個經過驗證的方案，只發明你自己的表現讓你別無選擇。

方案更好地驗證http://security.stackexchange.com。