セキュリティとパフォーマンスが心配なので、これをセキュリティに投稿するか/スタックオーバーフローに投稿するかはわかりません。
Cookie 管理の信頼できる情報源を見つけようとしています。私はOWASPを読んだので、何が危険なのかを大まかに知っています。
しかし、Cookie を使用してユーザーを認証する必要があります。完全なステップバイステップガイドはありますか?
私がしたこと:
ランダムで一意の文字列を生成します。
ランダムな文字列をキャッシュ内のユーザーに関連付ける rndstring -> user
安全で署名された Cookie を作成します。値=ハッシュ(rndstring+secret)|rndstring
ユーザーが戻ってきたら、ハッシュが一致するかどうか、rndstring がキャッシュにあるかどうかを確認します。
はいの場合、ユーザーを取得します。
私は自分で作ったので、私のアプローチには欠陥があると思います。
もう 1 つの問題は、キャッシュ内のデータベースからユーザー オブジェクトを保護することです。ユーザーがプロファイルを更新した場合、キャッシュも更新する必要があります。
play2 フレームワーク + mongoDB で Java を使用しています。
どのリソースをお勧めしますか?