Могу ли я использовать токен сеанса вместо сеанса?

Question

У меня есть сценарий использования под названием edit, который, по-видимому, требует сеанса, поскольку регистрация и сохранение учетной записи OpenID / OAuth не требуются.Поэтому я развернул свою собственную систему аутентификации med SHA1, которая может проверять пароль, и теперь я хочу знать, могу ли я реализовать функцию редактирования статьи без создания собственного объекта сеанса.Можно ли это сделать с помощью токена, который каким-то образом истекает?Пользователь должен быть "авторизован", но все, что мне нужно реализовать, - это разрешить редактирование объекта, и, поскольку пользователи могут войти в систему, просто отправив электронное письмо, я думаю, что авторизацию можно выполнить с помощью токена сеанса.Спасибо

Answer 1

Библиотеки, такие как Beaker , называют то, что вы хотите, «сеансом на основе файлов cookie». В идеале, вы должны просто использовать Beaker или другую библиотеку, которая обеспечивает такую ​​функциональность, но в любом случае ниже приведено описание их работы:

Данные сеанса (которые могут быть просто идентификатором пользователя или флагом, указывающим, что у них есть разрешение) хранятся в обычном клиентском cookie. Он может быть зашифрован с помощью секретного ключа и хранится вместе с HMAC , созданным с использованием другого ключа . Дополнительное шифрование предотвращает чтение данных пользователем, а HMAC гарантирует, что они не смогут его изменить.

В качестве дополнительного примечания вы говорите «регистрация и ведение учетной записи OpenID не требуется», но затем говорите о своей собственной аутентификации с использованием SHA1 и паролей. Помните: получить правильную аутентификацию может быть непросто, и лишь немногие пользователи хотят зарегистрировать другую учетную запись со своим паролем, если они могут использовать существующую учетную запись для входа.