등록 후 OpenID/OAuth 계정을 유지해야하는 세션이 필요하다고 생각되는 편집이라고하는 유스 케이스가 있습니다. 그래서 비밀 번호를 확인할 수있는 내 자신의 인증 시스템 med SHA1을 굴려서 이제는 자체 세션 객체를 가져 오지 않고 기사를 편집 할 수있는 기능을 구현할 수 있는지 알고 싶습니다. 어떤 식으로 만료되는 토큰으로 할 수 있습니까? 사용자는 "로그인"해야하지만 구현해야하는 것은 개체 편집을 사용하는 것입니다. 사용자는 이메일을 보내서 로그인 할 수 있으므로 세션 토큰으로 로그인을 할 수 있다고 생각합니다. 감사합니다세션 대신 세션 토큰을 사용할 수 있습니까?
Beaker과 같은 라이브러리에서 원하는 것을 "쿠키 기반 세션"이라고합니다. 이상적으로 비커 또는 이와 같은 기능을 제공하는 다른 라이브러리를 사용하는 것이 가장 좋지만 어떤 경우 든 작동 방식에 대한 절묘한 설명이 필요합니다.
세션 데이터 (사용자 식별자 또는 권한이 있음을 나타내는 플래그 일 수 있음))는 일반 클라이언트 측 쿠키에 저장됩니다. 비밀 키로 선택적으로 암호화되며 키를 사용하여 생성 된 HMAC과 함께 저장됩니다. 선택적 암호화는 사용자가 데이터를 읽지 못하도록하고 HMAC는 데이터를 수정할 수 없도록합니다.
"등록 및 OpenID 계정 유지가 필요하지 않습니다"라고 말하면서 SHA1과 암호를 사용하여 자신의 인증에 대해 이야기하십시오. 주의해야 할 점은 인증 권한을 얻는 것이 까다로울 수 있으며 기존 계정을 사용하여 로그인 할 수있는 경우 자신의 비밀번호로 다른 계정에 가입하려는 사용자는 거의 없습니다.
매우 흥미 롭습니다. 나는 많은 개발자와 사용자가 OpenID가 매우 편리하다고 동의 할 때 자신의 인증이 더 바람직하다는 다른 이야기를 들었다. –