私は、基本的な Cookie ベースのセッション処理を提供する暗号化とサードパーティ パッケージを適切にサポートする GO サーバー (golang.org) を使用しています。トークンの生成に関するガイドラインと、保存、無効化などの適切な方法を探しています。アプリケーションにはカスタム ユーザー管理が必要です。オフライン設定で Oauth を使用することはできますか?
質問する
1008 次
1 に答える
4
通常、セッション Cookie は次のようになります。
- 不透明。Cookie に隠されている情報を渡してはなりません。これは単なる識別子です。
- 推測できない。他の人のセッション トークンを推測してハイジャックできるようにしたくないでしょう。
- 衝突耐性。サイトに同時に何千人ものユーザーがいる場合、2 人のユーザーが同じトークンを使用しないように、かなり大きなトークンが必要です。
- 安全に保管されます。セッション情報は、Web ブラウザー (および他のパブリック ユーザー) がアクセスできない場所に保存します。通常、これはサーバーのドキュメント ツリーの外部にあるディスクに保存するか、データベースに配置することを意味します。
- 期限切れ間近で削除。セッション データを永久に保持したくありません。ときどき、セッション データを調べて、有効期限が切れたものをすべて削除する必要があります。
これは認証システムであり、セッション管理について質問しているため、OAuth がどこに入るのかわかりません。(2つが関連している可能性があることはわかっていますが。)
于 2012-10-30T00:58:18.260 に答える