token di autenticazione non memorizzato nel DB

1

Sto implementando un webserver e le linee guida che sto seguendo suggeriscono: - creare un token da un serializzatore che prende IdUser, una chiave simmetrica e una data di scadenza - fornirlo all'utente ma non memorizzare questo token in un database - per verificare una richiesta con un token decodificando il token con la stessa chiave simmetrica, controllare la scadenza, quindi verificare se l'idUser è valido e quindi consentire l'operazione.

Per me non sembra molto sicuro - confermi che questo è valido e amp; pratica sicura?

    
posta user3684457 20.02.2015 - 10:48
fonte

0 risposte

Leggi altre domande sui tag