написание страницы входа и проверка пользователя

Question

Я пишу страницу входа для моего сайта. Я подумал, будет ли хорошим способом для хранения данных сгенерировать случайное 64-битное число и сохранить его в БД вместе с файлом cookie httpOnly? затем каждый раз, когда пользователь получает страницу (есть панель инструментов, на которой указано, сколько новых сообщений у него есть), чтобы проверить, соответствует ли случайный cookie случайному cookie + userId в базе данных.

Это нормально?

Кстати, используя C # ASP.NET

Answer 1

Я рекомендую использовать GUID, а не случайное 64-битное число. Для всех практических целей GUID гарантированно будет уникальным.

Что касается логики безопасности, которую вы пытаетесь реализовать, я не могу комментировать, будет ли она работать тогда и только тогда, когда вы используете этот шаблон, поскольку в вопросе требуется больше информации.

Answer 2

Возможно Профили ASP.NET помогут вам. Проверьте определение SqlProfileProvider для использования ранее существующего поставщика профилей. И если ваша база данных окажется чем-то другим, вы всегда можете реализовать свою собственную .

Answer 3

Звучит разумно для меня, если у вас есть надежный источник случайных чисел. Плохие (то есть предсказуемые) случайные генераторы представляют большую угрозу безопасности.