Quindi, in pratica sto provando a registrare un utente con un cookie e non a interrogare DB per migliorare le prestazioni.
Ecco una breve idea:
- Trasmetti tutto tramite SSL
- Imposta una chiave segreta globale A e una chiave segreta B
- Genera una stringa di verifica casuale durante la registrazione e la modifica della password
- Cripta la stringa di verifica con A, memorizzala nel cookie
- Cripta la stringa di verifica con B, memorizzala nel cookie
- Quando l'utente tenta di accedere, decrypt ogni stringa con A e B, confronta se corrispondono a
Mi chiedo se sia una buona idea, se lo è:
Come posso effettivamente fare la crittografia in Java, usando bouncycastle ASE-256, Digest o altro?
Quanto questo processo di crittografia / decrittografia influisce sulle prestazioni, se confrontato con l'autenticazione memorizzando una variabile di sessione in un DB super veloce come Redis?
Se non lo è: cosa devo fare?