在AES256加密会话cookie中存储敏感信息仍然是一种不好的做法吗?

时间:2016-10-03 20:00:45

标签: javascript session session-cookies

我目前正在设计一个节点系统,可以在几秒钟内获得用户数据。它是基于nodejs的,所以为此我查看了客户端会话npm模块provided by mozilla。我没有看到关于将敏感数据放入cookie会话的警告,至少从文档中可以看出。

  

AES-256-CBC密码用于加密会话内容   一个HMAC-SHA-256身份验证标记(通过Encrypt-then-Mac组合)。   为每个生成随机的128位初始化向量(IV)   加密操作(无论密钥如何,这都是AES块大小   尺寸)。 CBC模式输入用通常的PKCS#5方案填充。

多年前,我会说这是令人难以置信的。但现在看起来范式已经改变了。你觉得怎么样?

0 个答案:

没有答案