1

使用 Java Web 应用程序(JSP/Servlets,无 EJB),不使用HttpSession's 来验证用户并授权他们的操作的最佳方法是什么?

注意这种方法/问题的原因是我希望我们的应用程序保持无状态,因此我不需要在地理上分散的数据中心内复制完整的会话,并且可以更轻松地从集群中添加和删除服务器。

谢谢

4

3 回答 3

1

公钥基础设施。创建您自己的 CA,签署并分发用户证书。在您的服务器上启用客户端身份验证。

于 2012-05-28T10:08:45.773 回答
1

成功登录后生成令牌,并在每个请求中仅验证此令牌。令牌当然需要复制,但它不应超过 100 字节的数据,因此与典型的“重”权重相比HttpSession,对性能的影响会非常低。

于 2012-05-28T10:19:58.503 回答
0

您可以使用“隐藏表单域”或“URL 重写”

于 2012-05-28T10:24:54.387 回答