身份验证,授权和没有会话的用户跟踪

时间:2012-05-28 09:48:53

标签: java session java-ee tomcat

使用Java Web应用程序(JSP / Servlets,没有EJB),在不使用HttpSession的情况下,对用户进行身份验证和授权操作的最佳方法是什么?

NB 这种方法/问题的原因是我希望我们的应用程序保持无状态,因此我不需要在地理位置分散的数据中心内复制完整会话,并且可以更轻松地从群集中添加和删除服务器。

由于

3 个答案:

答案 0 :(得分:1)

公钥基础设施。创建自己的CA,签名并分发用户证书。在服务器上启用client-auth。

答案 1 :(得分:1)

成功登录后生成令牌,并在每个请求上仅验证此令牌。当然,令牌需要复制,但它不应超过100字节的数据,因此与典型HttpSession的“重”权重相比,性能影响会非常低。

答案 2 :(得分:0)

您可以使用“隐藏表单字段”或“URL重写”