セキュリティやパフォーマンスに懸念があるため、これをセキュリティまたは/ stackoverflowに投稿する必要があるかどうかはわかりません。クッキー管理を修正してください
信頼できるCookie管理の情報源を探しています。私はOWASPを読んだので、危険なものが大体わかった。
ただし、Cookieを使用してユーザーを認証する必要があります。ステップガイドによる完全なステップがありますか?私が何をしたか
:
はランダムで一意の文字列を生成します。
準私のキャッシュrndstring内のユーザーとのランダムな文字列 - >ユーザー
は、安全で署名したクッキーを作成します。値=ハッシュ(rndstring +シークレット)| rndstring
ユーザーが戻ったら、ハッシュが一致するかどうか、rndstringがキャッシュに入っているかどうかを確認します。
はいの場合、ユーザーを取得します。
私は自分で作ったので、私のアプローチには欠陥があると思います。
もう1つの問題は、私のキャッシュ内のdbのユーザーオブジェクトが安全であることです。ユーザーがプロフィールを更新した場合は、キャッシュを更新する必要があります。
私はplay2フレームワーク+ mongoDBでjavaを使用しています。
私にはどのような資料がありますか?
+1「私は自分で作ったため、私のアプローチに欠陥があると思う」 –