在 Web 应用程序中,当从不同的客户端(浏览器)发生多次登录时,会话不失效有什么影响?
问问题
85 次
2 回答
0
好吧,这实际上取决于您正在运行的 Web 应用程序的类型。如果您正在运行一个简单的网站,除了人们可以维护不同的登录实例(想想无处不在的谷歌和 Facebook)这一事实之外,它绝对不会产生任何影响。如果您正在运行 MMO 游戏或某个独特角色将由一个帐户控制的东西,那么不可能拥有同一角色的多个实例。在大多数情况下,无需担心多次登录。如果您有更具体的场景,那么这对提供建议会更有帮助。
于 2013-09-23T06:43:56.910 回答
0
非常广泛的问题,但总的来说,问题分为两大类:
容量:会话在概念上是一个包含成员的对象。一个单独的会话对象占用应用服务器内存中的空间。根据您的服务器硬件和配置,您最终会遇到性能问题,您的服务器必须跟踪数百甚至数十万个会话对象。写得不好的应用程序将加剧容量问题;想象一个 Web 应用程序,其中每个用户会话都启动一个数据库服务器连接。现在将数据库连接数乘以 Web 应用程序中的活动会话数。现在,您的应用程序服务器可以调整或构建以支持数百万活动会话;您可能无法对您的数据库服务器说同样的话。
安全性:这主要是应用程序设计的问题。大量生产应用程序选择性地使用 HTTPS,其中登录过程受 TLS 保护,但整个用户体验在用户登录后是开放的。这包括使用 JSESSION_ID 与应用程序服务器的进一步通信。现在,会话 ID 处于活动状态的时间越长,就越容易被劫持。激进地使会话无效是您在银行应用程序等中会发现的东西。一个健全的银行应用程序没有理由让您的银行会话保持超过 10 分钟的空闲时间
于 2013-09-24T20:39:50.613 回答