玩!框架:使用会话进行身份验证
[英]Play! framework: using session for authentication
问题描述
所以我正在使用Play! 网站项目的框架。
我正在使用会话来确定用户是否已登录:
session("connected", user.getId().toString());
然后,我可以轻松地确定用户是谁。
我有两个问题:
- 这是最好的做法吗?
- 我的简单登录系统中是否存在漏洞,以及如何废除漏洞?
1 个解决方案
解决方案1
5 已采纳 2012-08-22 14:33:04
它简单而安全,因为会话范围的cookie是使用密钥签名的。 如果不需要为每个会话存储大量数据,那么应该没问题。
查看现有解决方案(即zentasks样本)。
编辑 :
另一方面,您可以考虑使用Play Authenticate,我已经在samples / java / play-authenticate-usage中添加了对我的fork(分支2.0.4_session)中的示例的会话处理,它只是3个提交,所以它很容易合并它是现有的play-authenticate-usage实现。
在Play 2框架(Java)中,如何在身份验证后将User对象添加到会话中
[英]In Play 2 framework (Java), how to add User object to session after authentication
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.