Dovrei crittografare i miei cookies usando AES?

Naviga le tue risposte
1

Cifrò i seguenti dati (lato server):

email, IP, username 

{
    *IP*: {
        email: *email at this IP*
        username: *username of email IP*
    } 
    *IP2*: {
        email: *email at this IP*
        username: *username of email IP*
    } 
}

Voglio mantenere il nome utente nei cookie, quindi non devo accedere al database ogni volta che inserisco il nome utente nella pagina degli utenti.

Questa è una cattiva idea?

Non mi interessa che manomettano il cookie, perché questo lo corromperà e posso semplicemente resettarlo. Gli utenti non saranno autorizzati se il loro IP non corrisponde a nessuno degli account nel loro cookie, in modo che non vengano disconnessi ogni volta che accedono, cosa che è successo con cPanel, come menzionato in questo discorso: link

    
posta Tobi 24.07.2017 - 21:59
fonte

1 risposta

6

Quello che stai descrivendo è lo stesso spirito di un JWT . Le JWT non sono crittografate, ma sono firmate in modo da poter verificare l'autenticità. Nessuno può forgiare una JWT a meno che non abbiano rotto la tua chiave. Consiglierei di utilizzarli invece di eseguire il rollover perché JWT viene utilizzato da molte organizzazioni per diversi anni.

Le librerie di verifica e firma JWT sono disponibili nella maggior parte dei linguaggi di programmazione e puoi scegliere la firma simmetrica o asimmetrica.

    
risposta data 24.07.2017 - 22:34
fonte

Leggi altre domande sui tag

Differenza tra "codice di sistema" e "codice dell'applicazione" "Passare oggetti anziché solo variabili richieste" è in contraddizione con "evita variabili globali"?