Estoy creando mi propia biblioteca de administración de sesiones en el lenguaje de programación Go y tuve una idea interesante para ahorrar memoria. Creé algo llamado supervisor que busca sesiones caducadas y abandonadas y las borro de la memoria. El único inconveniente de eso es que tengo un canal que contiene todos los nombres de sesión, por lo que el supervisor puede repetidamente recorrerlos.
Entonces, para mantener las sesiones indexables por su nombre, estaba pensando en agregar sesiones con un token rotativo de validación único separado por algún delimitador. p.ej. las cookies de sesión se almacenarán como "sessionid | validationToken". ¿Es esto menos seguro o diferente a rotar la ID de sesión completa? Tanto el token de validación como el ID de sesión utilizarán UUID, por lo que serán identificables de forma única. Además, ¿es esto realmente diferente a rotar la ID de sesión completa?
Esto es en referencia a la fijación de sesión / secuestro de sesión