0

这是Java Play的后续行动!2 - 使用 cookie 进行用户管理

来自 zentask 示例

    public class Secured extends Security.Authenticator {

        @Override
        public String getUsername(Context ctx) {
            return ctx.session().get("email");
        }

        @Override
        public Result onUnauthorized(Context ctx) {
            return redirect(routes.Application.login());
        }

        // Access rights

        public static boolean isMemberOf(Long project) {
            return Project.isMember(
                project,
                Context.current().request().username()
            );
        }

        public static boolean isOwnerOf(Long task) {
            return Task.isOwner(
                task,
                Context.current().request().username()
            );
        }


}

对我来说,这真的没有意义。

用户获得以下 cookie。例如“电子邮件=test@test.com”

如果我转到“安全”页面,zentask 只检查电子邮件是否不为空。这怎么可能是安全的?

会话的原因是为了减轻数据库的负担。但是通过这种方法,他必须不断检查用户是否有权访问受保护的页面。

对我来说,这真的没有意义。为什么会有getUsername函数?为什么返回类型是字符串?

我想做这样的事情:

  • 用户登录并获得一个类似于“value=randomString”的cookie

  • 例如,在缓存中保护用户 OBJECTCache.set(randomstring,userObject);

  • 现在,如果访问者回来,我检查他的随机字符串是否在我的缓存中,如果是,则检查现金中的用户对象是否有权在受保护的页面上。

我能够做到这一点,只是没有 @Security.Authenticated() 注释。

是否可以使用此注释来实现这一点?

4

1 回答 1

3

它只是一个sample,没有别的。您无需在 cookie 中存储电子邮件。例如,您可以保存一些哈希来识别登录用户,或者进行一些其他匹配。

示例尽可能简单,将其更改为更复杂的场景取决于开发人员。

顺便说一句,当然所有 Play 的 cookie 都已签名,我真的怀疑您是否能够手动更改它。

于 2012-08-06T06:04:37.273 回答