2017-02-09 21 views
1

私のウェブサイトのトークンを覚えておきたい。私は多くの記事を読んだことがありますが、データベース内のこれらの2つのトークンをマッピングするためのすべての点を指しています。データベースを使用せずにトークンを保護するために使用できる他の方法はありますか?データベースにデータを保存せずにクッキー内の "remember me"トークンを保護する方法はありますか?

答えて

1

パブリックキー暗号化を使用してサーバー上の情報に署名し、その情報をCookieとして格納するようブラウザに依頼することができます。そのために、どのクライアントにも秘密鍵を共有する必要はありません。 Cookieに基づいてセッションを復元する場合、サーバーは署名を確認できます。

同じキーまたは異なるキーでCookieの内容を暗号化することもできます。それで、サーバだけがブラウザに格納されているものを解読できるので、機密データでさえ送信することができます。

最も一般的なアルゴリズムはRSAですが、監視会社や組織から独立していると思われるED25519をチェックしてください。

+0

秘密鍵が攻撃者に知られている場合はどうなりますか?他の方法はありますか? – Nick

+0

公開鍵暗号化は、ハッキングされたサーバーやハッカーが秘密鍵にアクセスするのを免れるものではありません。ハードウェアウォレット(Yubikeyなど)を使用すると、サーバーコードでも秘密鍵にアクセスできなくなります。 – wigy

+0

私は、DBを使用せずに私のトークンを覚えておくために使用できる方法は何かを知りたいだけです。これ(暗号化)は私がそれを行うための唯一の方法ですか? @wigy – Nick

関連する問題