Tag: cookieless

如何做无状态（无会话）和无cookie的身份validation？

Bob使用Web应用程序来实现某些function。 和： 他的浏览器正在节食，因此它不支持cookies 。 Web应用程序是一个非常stream行的应用程序，它在特定时刻处理很多用户 – 它必须很好地扩展 。 只要保持会话会对同时连接的数量施加限制 ，当然会带来不可忽视的性能损失 ，所以我们可能希望有一个无会话的系统:) 一些重要的说明： 我们确实有运输安全 （ HTTPS及其最好的朋友）; 在幕后，Web应用程序将代表当前用户的许多操作委托给外部服务 （这些系统将Bob识别为其用户之一） – 这意味着我们必须将Bob的凭据转发给他们 。 现在，我们如何validation鲍勃（每个请求）？ 这将是一个合理的方式来实现这样的事情？ 通过HTMLforms的隐藏字段与证书打网球 … 球包含的凭据（ 用户名和密码 ）和两个球拍分别是浏览器和Web应用程序。 换句话说，我们可以通过表单域而不是通过cookie来回传输数据。 在每个Web请求中，浏览器都会发布凭证。 尽pipe在单页应用的情况下，这可能看起来像在墙壁上打壁球 ，而不是打网球 ，因为包含凭证的网页表单可能在网页的整个生命周期（以及服务器将被configuration为不提供凭证）。 存储在页面的上下文中的用户名和密码 – JavaScriptvariables等单页需要在这里，恕我直言。 encryption的基于令牌的authentication。 在这种情况下，login操作将导致生成一个encryption的安全令牌（用户名+密码+其他）。 这个令牌将被返回给客户端，并且即将到来的请求将伴随令牌。 这有道理吗？ 我们已经有HTTPS … 其他… 最后的手段：不要这样做，在会话中存储凭据！ 会议是好的。 有或没有cookies。 关于前面提到的任何想法，是否会出现任何networking/安全问题？ 例如， 超时 – 我们可能会保留一个时间戳 ，以及证书（时间戳=鲍勃input证书的时间）。 例如，当NOW – 时间戳>阈值时 ，我们可能会拒绝该请求。 […]