![](/img/trans.png)
[英]CQ5: How can I propagate a logged-in user's security context to an integrated web application?
[英]Tracking whether user is logged-in in a stateless web application?
如果我想讓用戶登錄和退出,那么在無狀態應用程序中執行此操作會有什么好的模式?
此外,最重要的安全問題是什么? 我想在Java中這樣做。
謝謝,亞歷克斯
如果您無法在用戶的瀏覽器中存儲會話數據(通過cookie),則可能很難實現。
我不確定“無狀態”是什么意思,但如果無法在用戶的瀏覽器中存儲會話密鑰,您可以隨時在您生成的HTML中發送此“密鑰”。 這個“關鍵”將是你隨機生成的東西(足夠隨機,沒人能輕易猜出它)。 只有您和用戶知道“密鑰”。 每當用戶請求新頁面時,如果用戶想要被識別為已登錄,則他需要將此鍵“POST”或“獲取”為HTTP參數。
對此的安全問題是,如果您通過非安全(http)執行此操作,則可以輕松地嗅探網絡。 如果您通過SSL(https)執行此操作,則可能更安全。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.