Come dice il titolo, sto cercando di implementare un protocollo di cookie sicuro
HMAC(username|expiration name|data|session key, sk)
Sembra che la chiave di sessione non sia costante durante tutta la durata della sessione dell'applicazione. Ora non sono sicuro di cosa sostituirlo, qualcuno mi ha suggerito di usare l'agente del browser ma non sembra univoco o troppo difficile da produrre, qualcuno ha qualche suggerimento?
Mi chiedo anche dove dovrei conservare la chiave del server. (Codice hard in codice sorgente, o c'è una soluzione di pastella?)