Sto costruendo la mia libreria di gestione delle sessioni nel linguaggio di programmazione Go e ho avuto un'idea interessante per risparmiare memoria. Ho creato qualcosa chiamato sovrintendente che cerca le sessioni scadute e abbandonate e le cancella dalla memoria. L'unico svantaggio è che ho un canale che contiene tutti i nomi delle sessioni in modo che il sorvegliante possa ripetutamente scorrerli.
Quindi, al fine di mantenere le sessioni indicizzabili con il loro nome, stavo pensando di aggiungere sessioni con un token di validazione rotante unico, separato da qualche delimitatore. per esempio. i cookie di sessione verrebbero archiviati come "sessionid | validationToken." È meno sicuro o diverso rispetto alla rotazione dell'intero ID di sessione? Sia il token di convalida che l'ID di sessione useranno UUID in modo che siano identificabili in modo univoco. Inoltre, questo è davvero diverso rispetto alla rotazione dell'intero ID di sessione?
Questo è in riferimento alla fissazione della sessione / sequestro di sessione