authentication - 寻找有关实现单次使用令牌以进行登录的反馈
问题描述
我正在开发的应用程序的集成要求用户通过重定向登录。因此,计划是使用一次性令牌作为 url 参数,然后一旦它们被重定向并验证令牌,我将使用 cookie 为它们创建一个会话。不幸的是,将令牌放在标头中不是一个选项。我正在考虑如何在不必为白名单或黑名单令牌制作新表的情况下完成此操作,并提出了以下建议:
创建一个令牌,其有效负载包括到期时间、用户 ID 和用户上次登录日期时间。然后用秘密对该令牌进行编码。
然后为了在重定向后验证令牌,首先使用密钥对其进行解码。然后检查过期时间。最后,我从数据库中获取用户的最后一次登录日期时间,并检查它是否与令牌有效负载中的日期时间匹配。如果所有检查都通过,则用户已登录,并为他们设置了会话 cookie。
我主要是在寻找有关安全性的反馈。谢谢!
解决方案
推荐阅读
- mysql - MySql 触发器不起作用
- angular - Angular 的 Ngrx Store Redux 在 Ionic 3 App 中不起作用
- session - $_SESSION 变量在查询中使用
- python-3.x - 使用 pip 的问题 - ModuleNotFoundError: No module named 'html.parser'
- python - Seaborn distplot 只有整数
- google-places-api - Places SDK IOS 输出语言
- installation - 安装 Forge 安装程序 - AutoStart 安装程序
- javascript - 如何在 JavaScript 中按键使用 mapKeys 和分组值?
- join - 如何使用 BizTalk 映射器通过将 2 个不同的重复节点连接到 1 个重复节点来进行映射
- java - pagefactory 中的 Arity 不匹配错误消息