我不確定是否應該在安全性或/ stackoverflow上發佈此信息,因爲我關心安全性和性能。正確的cookie管理
我正在嘗試查找cookie管理的可靠來源。我雖然讀了OWASP,所以我大致知道什麼是危險的。
但我需要使用cookie來認證我的用戶。有沒有完整的一步一步的指導?
我做了什麼:
產生一個隨機的和唯一的字符串。
聯營隨機字符串,在我的緩存rndstring用戶 - >用戶
創造一個安全,並簽署餅乾。 value = hash(rndstring + secret)| rndstring
如果用戶回來,我檢查散列值是否匹配,以及rndstring是否在我的緩存中。
如果是得到用戶。
我覺得我的方法有缺陷,因爲我自己做了。
另一個問題是,我從我的緩存中的數據庫安全用戶對象。如果用戶更新他的個人資料,我還必須更新緩存。
我正在使用java與play2框架+ mongoDB。
你可以推薦我哪些資源?
+1對於「我認爲我的方法有缺陷,因爲我自己做了。」 – 2012-08-07 08:37:03