Chiarimento sui token di autenticazione

0

Questa domanda è suddivisa in più domande che - almeno sopra SO - è disapprovata, ma si riduce a una domanda principale, che è: qual è il modo corretto di usare token di autenticazione?

Ecco le mie conoscenze su come funzionano i token di autenticazione, ma queste sono solo supposizioni, dal momento che non sono stato in grado di trovare alcuna informazione utile su Internet.

  1. Quando un utente effettua il login, genero un nuovo token di autenticazione nel database, sovrascrivendo quello precedente.

  2. I token di autenticazione dovrebbero scadere dopo un certo periodo di tempo. (L'utente dovrebbe essere in grado di configurare questa volta?)

  3. I token di autenticazione dovrebbero essere memorizzati sul lato client come cookie.

  4. Quando l'utente fa qualcosa per cui devono essere autenticati (ad es. creando un post), il token di autenticazione che forniscono è verificato rispetto a un ID utente che forniscono anche . Solo se corrispondono, concedo loro di creare il post.

Tutto questo è corretto? E c'è altro che dovrei sapere?

Ribadisco che sono sicuro che qualcuno prenderà in considerazione questo vago, o open-ended, quindi sarei felice di chiarire qualsiasi cosa, se necessario.

    
posta Jacob Garby 21.04.2018 - 15:36
fonte

0 risposte

Leggi altre domande sui tag