我目前正在设计一个节点系统,可以在几秒钟内获得用户数据。它是基于nodejs的,所以为此我查看了客户端会话npm模块provided by mozilla。我没有看到关于将敏感数据放入cookie会话的警告,至少从文档中可以看出。
AES-256-CBC密码用于加密会话内容 一个HMAC-SHA-256身份验证标记(通过Encrypt-then-Mac组合)。 为每个生成随机的128位初始化向量(IV) 加密操作(无论密钥如何,这都是AES块大小 尺寸)。 CBC模式输入用通常的PKCS#5方案填充。
多年前,我会说这是令人难以置信的。但现在看起来范式已经改变了。你觉得怎么样?