0
我的web應用程序由兩個部分組成:GWT身份驗證的用戶會話
- GWT應用程序,做所有的工作。
- 手工製作的servlet旨在處理OpenID身份驗證工具。
我需要將p.2連接到p.1。我在讀LoginSecurityFAQ,所以我想確認我的理解在這裏是否正確。
- 一旦OpenID提供商確認用戶是好的並給我它的身份,我應該註冊會話。
- 要「註冊」會話,我應該在我的數據庫中的某個位置存儲OpenID身份和會話ID之間的映射(identity =「https://www.google.com/accounts/o8/id?id=wwyruiwncuyrwieruyfakefakefake」會話ID是一個大的隨機字符串,如「HihohohIUHOIUY87Y * & Ttgi6yUYGIuygUHGugyg^G6g」)。
- 該會話ID應該存儲在客戶端的cookie中。
- 每次從客戶端發送任何請求時,在服務器端,我應該檢查客戶端的會話ID是否足夠新鮮(活動),並且我還應該使用它來解析客戶端身份以防萬一需要。
是不是?如果會話ID真的很大,它足夠安全嗎?