No estoy seguro de si debería publicar esto en security o/stackoverflow porque me preocupan la seguridad y el rendimiento.Corrección de administración de cookies
Estoy tratando de encontrar una fuente confiable para la administración de cookies. Leí aunque OWASP, así que sé más o menos lo que puede ser peligroso.
Pero necesito autenticar a mis usuarios con cookies. ¿Hay una guía completa paso a paso?
Lo que hice:
generar una cadena aleatoria y única.
asociado de la cadena aleatoria con un usuario en mi rndstring caché -> usuario
crear una cookie segura y firmado. value = hash (rndstring + secret) | rndstring
si el usuario regresa, compruebo si los valores hash coinciden, y si la cadena de caracteres está en mi caché.
if yes obtener el usuario.
Creo que mi enfoque es defectuoso porque lo hice por mi cuenta.
Otro problema sería que protejo el objeto del usuario de la base de datos en mi caché. Si el usuario actualiza su perfil, también debería actualizar la caché.
Estoy usando java con el framework play2 + mongoDB.
¿Qué recursos me pueden recomendar?
+1 por "Creo que mi enfoque es defectuoso porque lo hice solo". –