如果我想让用户登录和退出,那么在无状态应用程序中执行此操作会有什么好的模式?
此外,最重要的安全问题是什么?我想用Java做这件事。
谢谢, 亚历
答案 0 :(得分:2)
如果您无法在用户的浏览器中存储会话数据(通过cookie),这可能很难实现。
我不确定“无状态”是什么意思,但如果无法在用户的浏览器中存储会话密钥,您可以随时在您生成的HTML中发送此“密钥”。这个“关键”将是你随机生成的东西(足够随机,没人能轻易猜出它)。只有您和用户知道“密钥”。每当用户请求新页面时,如果用户想要被识别为已登录,则需要将此键“POST”或“获取”为HTTP参数。
对此的安全问题是,如果您通过非安全(http)执行此操作,则可以轻松地嗅探网络。如果您通过SSL(https)执行此操作,则可能更安全。