让cookie通过客户端公钥加密是否安全？

Question

我正在考虑一个无状态身份验证服务“myloginservice.io”，它应该使用github，reddit，twitter等进行简单登录，使用相应身份验证策略的预定义帐户。 该服务将针对演示，游乐场，不应成为auth0和类似服务的重要替代品。它应该足够安全。

工作流程应如下：

• 从“yourwebsite.com”登录，通过https://myloginservice.io/reddit?pubkey=YOUR_PUBKEY&domain=YOUR_TOPLEVEL_DOMAIN&successRedirect=YOUR_SUCCESS_URL&failureRedirect=YOUR_FAILURE_URL
链接
• myloginservice.com进行身份验证并存储使用通过查询参数提供的公钥加密的用户（同时设置cookie域）
• myloginservice.com重定向到YOUR_SUCCESS_URL / YOUR_FAILURE_URL
• “yourwebsite.com”解密用户cookie并执行适当的操作

由于公钥可见，任何人都可以从调试控制台创建并手动设置会话。但如果没有真实的用户数据，那将毫无意义......不是吗？

是否有任何安全问题？