我是否正确理解Hawk Auth的原理?

时间:2019-01-12 13:31:16

标签: security authentication identification

美好的一天。我已经阅读了所有可以阅读的内容,但是仍然有疑问。

在不同的实现中,我看到了某些差异(例如,在 mac 处称为 hash ,或 hash 是其他一些哈希字符串(不是 mac )。还有其他一些答案。

接下来,我将描述如何理解规范。

我们有:

$keyId = "dh37fgj492je";
$key   = "werxhqb98rpaxn39848xrunpaw3489ruxnpa98w4rxn";`
$algo  = "hmac sha256";
$hash  = "6R4rV5iE+NPoym+WwjeHzjAGXUtLNIxmo1vpMofpLAE=";

我们何时获得此数据?据我了解,我们可以在登录时获取它们并将其记录在数据库中。对不对?接下来,我们将此数据存储在Cookies中。是保存所有数据还是仅保存$keyId$key$algo

接下来,我们使用保存的Cookie数据来形成标题。

然后,将此标头转移到我们要从中接收信息的地址(https://example.com/api/users/4512478)。服务器返回数据。

我的问题

  • 哪些数据应存储在用户Cookies(或LocalStorage)中,哪些数据应仅存储在服务器端?
  • 存储的哪些数据是临时的,什么数据作为 Session ID 存储了一段时间?
  • 我是否需要在会话中存储数据?能否将Hawk数据保存在数据库中(在用户表中 )?

0 个答案:

没有答案