基于令牌的会话管理

Question

我使用GO服务器（golang.org），它确实支持加密和第三方软件包，它提供基本的基于cookie的会话处理。我正在寻找关于生成令牌的指南，以及存储，无效等的良好实践。我的应用程序需要自定义用户管理。可以在离线设置中使用Oauth，还是更好的方式？

Answer 1

通常，会话cookie应为：

• 不透明的。您不应该传递隐藏在cookie中的任何信息。它只是一个标识符。
• 不可猜测。你不希望别人能够猜出其他人的会话代币并劫持他们。
• 碰撞抵抗。如果您的网站上同时拥有数千名用户，则需要相当大的令牌，因此两位用户最终不会使用相同的令牌。
• 安全存放。将会话信息保存在Web浏览器（和其他公共用户）无权访问的位置。通常这意味着将它们保存在服务器文档树之外的磁盘上，或者将它们放入数据库中。
• 已过期且已过期。您不希望永远保留会话数据。偶尔，您需要浏览会话数据并删除已过期的所有内容。

我不确定OAuth在哪里，因为那是一个身份验证系统，你问的是会话管理。 （虽然我意识到这两者可能有关系。）