Protezione di OAuth / OpenID Connetti l'identità in un cookie per un facile accesso

1

Ho un sito web che utilizza Azure Active Directory o Google + per l'accesso. Eseguo un flusso di accesso OAuth2 e vengono restituiti gli e-mail degli utenti insieme ai loro token per me dal loro servizio di identità.

L'indirizzo email dell'utente è la loro identità e le risorse estranee (token e altre cose) sono memorizzate utilizzando l'indirizzo e-mail come chiave esterna.

In questo momento sto salvando l'indirizzo email degli utenti in una stringa pesantemente crittografata, e quando la pagina viene caricata, cerco un cookie, lo decrypt, e trovo l'indirizzo email e apro quell'account.

Questo è sicuro? C'è un buon modello per la memorizzazione degli utenti Identità?

Non voglio forzare i miei utenti a dover effettuare il login ogni volta che visitano il sito Web, ma deve essere sicuro.

    
posta Wesley 08.10.2014 - 22:59
fonte

1 risposta

3

Sì e no.

Se fatto bene lo sarà, ma quello che stai descrivendo è semplicemente un cookie di autenticazione.

Suggerirei di non reinventare la ruota. Il linguaggio framework / di programmazione che utilizzi probabilmente ha già un modo per gestire i cookie di autenticazione. Vorrei andare con quello invece di crearlo da solo.

    
risposta data 09.10.2014 - 15:41
fonte

Leggi altre domande sui tag