ユーザーがログインおよびログアウトできるようにする場合、ステートレスアプリケーションでこれを行うための適切なパターンは何でしょうか。
また、セキュリティ上の最大の懸念事項は何ですか?私はこれをJavaで行うことを考えています。
ありがとう、アレックス
1 に答える
2
セッションデータをユーザーのブラウザに(Cookieを介して)保存できない場合、これを実現するのはおそらく非常に困難です。
「ステートレス」の意味はわかりませんが、セッションキーをユーザーのブラウザに保存できない場合は、作成したHTMLでいつでもこの「キー」を送信できます。この「キー」は、ランダムに生成されるものになります(誰も簡単に推測できないほどランダムになります)。「キー」はあなたとユーザーだけが知っています。ユーザーが新しいページを要求するときはいつでも、ユーザーがログインしていることを識別したい場合は、このキーをHTTPパラメーターとして「POST」または「GET」する必要があります。
これに対するセキュリティ上の懸念は、非セキュア(http)を介してこれを行うと、ネットワークが簡単に盗聴される可能性があることです。SSL(https)を介して行う場合は、おそらくより安全です。
于 2011-04-04T18:56:49.067 に答える