猿问

基于令牌的会话管理

我使用的是GO服务器(golang.org),它确实对加密提供了很好的支持,而第三方程序包则提供了基于基本cookie的会话处理。我正在寻找有关生成令牌的准则,以及存储,失效等的良好实践。我的应用程序需要自定义用户管理。可以在离线环境中使用Oauth或以其他更好的方式使用Oauth吗?


翻翻过去那场雪
浏览 186回答 1
1回答

幕布斯7119047

通常,会话cookie应该是:不透明。您不应传递任何隐藏在cookie中的信息。它仅仅是一个标识符。难以置信。您不希望人们能够猜测其他人的会话令牌并劫持它们。防碰撞。如果您同时在站点上有成千上万的用户,则需要相当大的令牌,因此两个用户最终不会拥有相同的令牌。安全存放。将您的会话信息保存在Web浏览器(和其他公共用户)无法访问它们的地方。通常,这意味着将它们保存在服务器文档树之外的磁盘上,或者将它们放入数据库中。即将过期删除。您不想永远保留会话数据。有时,您需要遍历会话数据并删除所有过期的数据。我不确定OAuth会在哪里出现,因为这是一个身份验证系统,您正在询问会话管理。(尽管我意识到两者可以相关。)
0
随时随地看视频慕课网APP

相关分类

Go
我要回答