我使用的是GO服务器(golang.org),它确实对加密提供了很好的支持,而第三方程序包则提供了基于基本cookie的会话处理。我正在寻找有关生成令牌的准则,以及存储,失效等的良好实践。我的应用程序需要自定义用户管理。可以在离线环境中使用Oauth或以其他更好的方式使用Oauth吗?
1 回答
幕布斯7119047
TA贡献1794条经验 获得超8个赞
通常,会话cookie应该是:
不透明。您不应传递任何隐藏在cookie中的信息。它仅仅是一个标识符。
难以置信。您不希望人们能够猜测其他人的会话令牌并劫持它们。
防碰撞。如果您同时在站点上有成千上万的用户,则需要相当大的令牌,因此两个用户最终不会拥有相同的令牌。
安全存放。将您的会话信息保存在Web浏览器(和其他公共用户)无法访问它们的地方。通常,这意味着将它们保存在服务器文档树之外的磁盘上,或者将它们放入数据库中。
即将过期删除。您不想永远保留会话数据。有时,您需要遍历会话数据并删除所有过期的数据。
我不确定OAuth会在哪里出现,因为这是一个身份验证系统,您正在询问会话管理。(尽管我意识到两者可以相关。)
- 1 回答
- 0 关注
- 185 浏览
添加回答
举报
0/150
提交
取消