闰土少年

闰土少年 查看完整档案

填写现居城市  |  填写毕业院校  |  填写所在公司/组织填写个人主网站
编辑
_ | |__ _ _ __ _ | '_ \| | | |/ _` | | |_) | |_| | (_| | |_.__/ \__,_|\__, | |___/ 该用户太懒什么也没留下

个人动态

闰土少年 提出了问题 · 2019-04-29

解决PHP将RS256加密后的cookies当成session用安不安全

题目描述

将rs256加密后的cookies当成session来用,比如现阶段图片验证码加密后存在cookies,提交后解密验证,还有手机验证码,同时用http-only存入、ua、ip、过期时间等信息,就想问下这样做的人多吗,有没有人实际应用到已经运营的项目当中,从安全性上给点建议,例如cookies被截取,伪造等。我的理解是只要rs256的公钥密钥不泄露,定期签发公钥密钥,理论上是挺安全的。一般你们用什么方式保存临时数据居多

题目来源及自己的思路

用php做一个网站项目,怕以后涉及到高可用要做负载,用session和redis存后端临时数据对服务器架构和后期维护不方便,所以采用rs256加密cookies直接存入就不用部署redis或者做session同步操作了

相关代码

// 请把代码文本粘贴到下方(请勿用图片代替代码)

public function set_rsa_cookies($name, $data)
{
    $jwt = JWT::encode($data, \Flight::get('rsa.private.key'), 'RS256');

    setcookie($name, $jwt, 0, '/');
}

public function get_rsa_cookies($name)
{
    if (isset($_COOKIE[$name])) return [];

    $decoded = JWT::decode($_COOKIE[$name], \Flight::get('rsa.public.key'), array('RS256'));
    return (array)$decoded;
}

你期待的结果是什么?实际看到的错误信息又是什么?

相互交流下web下临时数据存入的经验即可

关注 3 回答 2

闰土少年 提出了问题 · 2019-04-29

解决PHP将RS256加密后的cookies当成session用安不安全

题目描述

将rs256加密后的cookies当成session来用,比如现阶段图片验证码加密后存在cookies,提交后解密验证,还有手机验证码,同时用http-only存入、ua、ip、过期时间等信息,就想问下这样做的人多吗,有没有人实际应用到已经运营的项目当中,从安全性上给点建议,例如cookies被截取,伪造等。我的理解是只要rs256的公钥密钥不泄露,定期签发公钥密钥,理论上是挺安全的。一般你们用什么方式保存临时数据居多

题目来源及自己的思路

用php做一个网站项目,怕以后涉及到高可用要做负载,用session和redis存后端临时数据对服务器架构和后期维护不方便,所以采用rs256加密cookies直接存入就不用部署redis或者做session同步操作了

相关代码

// 请把代码文本粘贴到下方(请勿用图片代替代码)

public function set_rsa_cookies($name, $data)
{
    $jwt = JWT::encode($data, \Flight::get('rsa.private.key'), 'RS256');

    setcookie($name, $jwt, 0, '/');
}

public function get_rsa_cookies($name)
{
    if (isset($_COOKIE[$name])) return [];

    $decoded = JWT::decode($_COOKIE[$name], \Flight::get('rsa.public.key'), array('RS256'));
    return (array)$decoded;
}

你期待的结果是什么?实际看到的错误信息又是什么?

相互交流下web下临时数据存入的经验即可

关注 3 回答 2

闰土少年 关注了专栏 · 2019-04-29

前端杂货铺

前端杂货铺

关注 944

闰土少年 关注了专栏 · 2019-04-29

宜信技术学院

宜信技术学院是宜信旗下的金融科技平台。专注分享金融科技深度文章。

关注 11386

闰土少年 关注了专栏 · 2019-04-29

京东智联云技术新知

京东智联云最新产品信息和技术干货以及最新活动发布 拥抱技术,与开发者携手创造未来!

关注 3873

闰土少年 关注了专栏 · 2019-04-29

前端早早聊

技术经用得上、听得懂、抄得走,加微 codingdreamer 围观

关注 594

闰土少年 关注了专栏 · 2019-04-29

code秘密花园

基础知识、算法、原理、项目、面试。公众号code秘密花园

关注 5200

闰土少年 关注了专栏 · 2019-04-29

前端周刊

薄荷前端周刊,每周至少一篇技术分享

关注 3193

闰土少年 关注了专栏 · 2019-04-29

终身学习者

我要先坚持分享20年,大家来一起见证吧。

关注 40744

闰土少年 关注了标签 · 2019-04-29

程序员

一种近几十年来出现的新物种,是工业革命的产物。英文(Programmer Monkey)是一种非常特殊的、可以从事程序开发、维护的动物。一般分为程序设计猿和程序编码猿,但两者的界限并不非常清楚,都可以进行开发、维护工作,特别是在中国,而且最重要的一点,二者都是一种非常悲剧的存在。

国外的程序员节

国外的程序员节,(英语:Programmer Day,俄语:День программи́ста)是一个俄罗斯官方节日,日期是每年的第 256(0x100) 天,也就是平年的 9 月 13 日和闰年的 9 月 12 日,选择 256 是因为它是 2 的 8 次方,比 365 少的 2 的最大幂。

1024程序员节,中国程序员节

1024是2的十次方,二进制计数的基本计量单位之一。程序员(英文Programmer)是从事程序开发、维护的专业人员。程序员就像是一个个1024,以最低调、踏实、核心的功能模块搭建起这个科技世界。1GB=1024M,而1GB与1级谐音,也有一级棒的意思。

从2012年,SegmentFault 创办开始我们就从网络上引导社区的开发者,发展成中国程序员的节日 :) 计划以后每年10月24日定义为程序员节。以一个节日的形式,向通过Coding 改变世界,也以实际行动在浮躁的世界里,固执地坚持自己对于知识、技术和创新追求的程序员们表示致敬。并于之后的最为临近的周末为程序员们举行了一个盛大的狂欢派对。

2015的10月24日,我们SegmentFault 也在5个城市同时举办黑客马拉松这个特殊的形式,聚集开发者开一个编程大爬梯。

特别推荐:

【SF 黑客马拉松】:http://segmentfault.com/hacka...
【1024程序员闯关秀】小游戏,欢迎来挑战 http://segmentfault.com/game/

  • SF 开发者交流群:206236214
  • 黑客马拉松交流群:280915731
  • 开源硬件交流群:372308136
  • Android 开发者交流群:207895295
  • iOS 开发者交流群:372279630
  • 前端开发者群:174851511

欢迎开发者加入~

交流群信息


程序员相关问题集锦:

  1. 《程序员如何选择自己的第二语言》
  2. 《如何成为一名专业的程序员?》
  3. 《如何用各种编程语言书写hello world》
  4. 《程序员们最常说的谎话是什么?》
  5. 《怎么加入一个开源项目?》
  6. 《是要精于单挑,还是要善于合作?》
  7. 《来秀一下你屎一般的代码...》
  8. 《如何区分 IT 青年的“普通/文艺/二逼”属性?》
  9. 程序员必读书籍有哪些?
  10. 你经常访问的技术社区或者技术博客(IT类)有哪些?
  11. 如何一行代码弄崩你的程序?我先来一发
  12. 编程基础指的是什么?
  13. 后端零起步:学哪一种比较好?
  14. 大家都用什么键盘写代码的?

爱因斯坦

程序猿崛起

关注 109896

认证与成就

  • 获得 0 次点赞
  • 获得 1 枚徽章 获得 0 枚金徽章, 获得 0 枚银徽章, 获得 1 枚铜徽章

擅长技能
编辑

(゚∀゚ )
暂时没有

开源项目 & 著作
编辑

(゚∀゚ )
暂时没有

注册于 2019-04-29
个人主页被 62 人浏览