大家。
说,我有一个Web服务器和一个客户端,它第一次连接到它。身份验证机制是:
1) parse the client's UsernameToken element and retrieve its username, password and
nonce.
2) evaluate a hash: SHA2 (username + password + nonce)
3) check if a Data Base contains such a hash.
我们假设存在这样的哈希。问题是,当第二次连接时,如何知道客户端已经过身份验证?
搜索数据库相当昂贵,所以我无法在每次连接时都这样做。
将客户端哈希保存在内存中会提高性能,但在这样的注册表中应该存在多长时间,这似乎是一个巨大的安全漏洞。
会话参数?但是如何在网络服务环境中实施呢?