如果我想让用户能够登录和注销,那么在无状态应用程序中执行此操作的一些好的模式是什么?
此外,最重要的安全问题是什么?我正在考虑在 Java 中执行此操作。
谢谢,亚历克斯
1 回答
2
如果您无法在用户的浏览器中存储会话数据(通过 cookie),这可能很难实现。
我不确定您所说的“无状态”是什么意思,但如果无法在用户浏览器中存储会话密钥,您始终可以在生成的 HTML 中发送此“密钥”。这个“密钥”将是你随机生成的东西(足够随机,没有人能轻易猜到它)。“密钥”只有您和用户知道。每当用户请求一个新页面时,如果用户想被识别为已登录,他需要“POST”或“GET”这个键作为 HTTP 参数。
对此的安全问题是,如果您通过非安全 (http) 执行此操作,则网络很容易被嗅探。如果您通过 SSL (https) 执行此操作,它可能更安全。
于 2011-04-04T18:56:49.067 回答