آموزش ایجاد توکن

[olampiad]

سلام
تو اینترنت راه حلی که برای جلوگیری از حملات xss برای حساب کاربری کاربران در url توصیه می شد استفاده از توکن بود.
به این آدرس ی نگا بندازید.

http://www.site.com/user/del/token784969874hrtoken/14

الآن در اینجا token784969874hrtoken توکن برنامه من است.
اگر برنامه من توکن را تایید نکند بقیه کاررا ادامه نخواهد داد.
حالا من سوالاتی در مورد توکن داشتم.

توکن رو برای چ مدتی و چطوری درست کنم.
توکن رو که برای هر کاربر ایجاد کردم باید از هر چند دقیقه یک بار حذفش کنم.
میشه ی توضیحاتی در مورد ایجاد و مدیریت توکن ها بدید.
مرسی

[Eshpilen]

توی پروژهء سیستم رجیستر و لاگین بنده توکن هاش رو میتونید بررسی کنید: https://github.com/ferchang/reg8log
تاجاییکه یادمه توکن رو به ازای هر جلسه یک بار تولید میکنه و تا بسته شدن مرورگر باقیه.
بنظر من نیاز اکیدی به تعویض توکن در فواصل زمانی نیست. اینا بنوعی overkill هست و به دردسرها و مشکلاتش نمی ارزه تاجاییکه من تحقیق کردم و فهمیدم و به ذهنم میرسه.

البته من دو توکن تولید میکنم یکی برای درخواستهای post و دیگری برای درخواستهای get.
این مزیت امنیتی داره چون امنیت get پایین تره و احتمال درز کردن توکن در اونجا بیشتره. پس اگر توکن get بیفته دست هکر، هنوز عملیات post که اکثر کارهای واقعا مهم هم با post انجام میشن (و معمولا از نظر فنی و استانداردها و امنیت باید هم اینطور باشه) امن باقی میمونه.

[olampiad]

تشکر فراوان بابت راهنمایی ها
آیا لازمه من برای فرم ها هم از توکن استفاده کنم.
با سشن ی توکن ایجاد کنم و اون رو در یکی از فیلده ای هیدن قرار بدم.
در صفحه ای که اطلاعات فرم رو میگیرم توکن رو با فیلد هیدن مقایسه کنم (اگر یکی بود ایجاده ثبت دهم.)
ممنون

[Eshpilen]

من میگم post یعنی چی پس؟! خب مال فرم هاست دیگه!
شما باید تقریبا همه جا از توکن استفاده کنید. هرجا عملیاتی از طرف هر کاربر خاص میخواد انجام بشه. حالا میخواد این عملیات از طریق URL و لینک فراخوانی بشه میخواد فرم باشه یا هر روش دیگه.