使用Java Web应用程序(JSP / Servlets,没有EJB),在不使用HttpSession
的情况下,对用户进行身份验证和授权操作的最佳方法是什么?
NB 这种方法/问题的原因是我希望我们的应用程序保持无状态,因此我不需要在地理位置分散的数据中心内复制完整会话,并且可以更轻松地从群集中添加和删除服务器。
由于
答案 0 :(得分:1)
公钥基础设施。创建自己的CA,签名并分发用户证书。在服务器上启用client-auth。
答案 1 :(得分:1)
成功登录后生成令牌,并在每个请求上仅验证此令牌。当然,令牌需要复制,但它不应超过100字节的数据,因此与典型HttpSession
的“重”权重相比,性能影响会非常低。
答案 2 :(得分:0)
您可以使用“隐藏表单字段”或“URL重写”