0
所以基本上我试图用一个cookie记录用户,不查询数据库,以提高性能使用身份验证使用2个加密字符串
这里是一个简单的想法:
- 通过SSL 传输一切
- 设置一个全局秘密密钥A和秘密密钥B
- 生成的注册和密码修改
- 加密验证字符串以随机验证字符串,将其存储在协okie
- 加密验证串B,其存储在cookie的
- 当用户尝试登录时,我解密每个字符串A和B,比较,如果它们匹配
我想知道,如果它是一个好主意 如果是这样的话:
我怎么能在Java中使用bouncycastle ASE-256,Digest或其他什么来进行加密?
多少时,通过在超快速DB像Redis的
存储会话变量与认证相比,这是否加密/解密过程影响性能,如果不是: 我应该怎么办..
我想过这个第一..但不会公开cookie中的已知值引入用户破解密钥的风险? – 2013-03-05 17:41:03
不,这将是一个已知的纯文本攻击或重放攻击,如果密码被正确应用,这是不可能的(它永远不会,因此关于先采取其他路线的说法) – 2013-03-05 17:48:38
嗯...所以有没有任何建议在一个有效的方法可能会使数据库访问失效? – 2013-03-05 17:58:28