Como dice el título, estoy intentando implementar un protocolo seguro de cookies
HMAC(username|expiration name|data|session key, sk)
Parece que la clave de sesión no es constante durante toda la vida de la sesión de la aplicación. Ahora no estoy seguro de con qué reemplazarlo, alguien me sugirió usar el agente del navegador, pero no parece ser único o demasiado difícil de producir, ¿alguien tiene alguna sugerencia?
También me pregunto dónde debo almacenar la clave del servidor. (Codifíquelo en el código fuente, ¿o hay una solución de mezcla?)