基于Cookie单点登录策略的缺陷和相对理想的设计(来自网络)

最新推荐文章于 2024-08-25 09:26:55 发布
最新推荐文章于 2024-08-25 09:26:55 发布
阅读量136 收藏
点赞数
文章标签: java 运维
原文链接:http://www.cnblogs.com/cao-zone/archive/2009/09/01/1558280.html
版权

基于Cookie单点登录策略的缺陷和相对理想的设计

缺陷

1)客户端不得不启用Cookie

Servlet规范规定一个用户只有一个Session,要求Web容器用一个唯一的键值来对该Session作对应,然而HTTP 请求却是没有状态的。客户端如何保持这个键值呢,一种方法是用Cookie来保存,要是Cookie在客户端被Disabled了,那就只能URL重写

 

2)必须得解决Cookie跨域的问题

 这就要求各个服务器统一域名方式

 

3)必须在客户端或者在某个DNS服务器上配置域名映射

   直接用IP访问是不行的,要是在客户端配置域名映射那将会非常麻烦

 

4)要是不用SSL传输等来加强安全,用户名和密码等存在Cookie中的信息将有可能给截取

 

相对理想的另一设计

1) 用户登录通过认证后生成一个在所有应用都是唯一的ticket,这个ticket只能生效一次且有过期时间,有效时间与对应的Http Seesion的有效时间一样。同时生成一个SSOSeesion,这个用之前生成的唯一ticket对应。

2) 这个SSOSession用来保存相关的用户信息

3) 当用户首次成功登录后,所有应用都能获悉该ticketSSOSession

4) 当用户从当前应用访问其他应用时传输的是ticket而不是用户名和密码之类,更好点应该用Http Post方式提交请求

5) 当用户以SSO方式登录成功后,ticket应该被更新,旧ticket应该被立即失效,所有服务器上的旧ticket对应的SSOSession也应失效

6) 用户当前HTTP Sessioninvalidated时,所有服务器上同一SSOSession也应该同时被Invalidated;同样,登出时也一样

7) 为了更好的安全性,在认证阶段也需要HTTP SSL Transport

 

 

接口

  • SSOSession                                 单点登录会话
  • SSOSessionContext                   单点登录会话上下文
  • ClusterContext                            集群上下文
  • ClusterEventSource                   集群消息源
  • ClusterNotification                   集群消息


SSOSessionContext需要跟踪所有会话。它继承ClusterContext,ClusterEventSource,这样它就有了集群的能力。


让我们考虑一下应用的场景:
存在应用A和B,用户X先是成功登录A,之后从A转跳到B。B发现自己没有A的登录会话,
于是发出一个集群消息请求会话支援。A收到消息后回应B。最后X成功登录B。


当然,这样的设计存在很多的难点,例如如何进行集群消息回应,更新SSOSession。怎样确定Peer也没有所请求的SSOSession等。
这些都是一些集群需要考虑的问题。


幸运的是,我们可以选择一些开源的集群实现JBoss Cache就是其中之一。要是有了这样的集群实现上面的三个Cluster开头的接口就可以省略了。

转载于:https://www.cnblogs.com/cao-zone/archive/2009/09/01/1558280.html

weixin_33701617
关注
cookie+redis实现单点登录并保持session有效期
makersy的博客
04-20 3215
该方案的实现场景是多个tomcat分布式,需要session共享,即用户登录请求发给了一个tomcat,要求所有的tomcat都有该用户登录的token、session,下次请求转发到其他的tomcat时,仍然认为该用户是登陆状态。 具体实现需要配置nginx,进行vitual host的配置。 ...
基于java固定资产管理系统设计(含源文件)
【完整】
03-08 6894
欢迎添加微信互相交流学习哦! 项目源码:https://gitee.com/oklongmm/biye 固定资产管理系统 摘 要 随着计算机信息技术的发展以及对资产、设备的管理科学化、合理化的高要求,利用计算机实现设备及资产的信息化管理已经显得非常重要。 固定资产管理系统是一个单位不可缺少的部分。但一直以来人们使用传统的人工方式管理固定资产的信息,这种管理方式存在着许多缺点,这对于查找、更新和维护都带来了不小的困难。因此,开发一个界面友好,易操作的资产管理软件进行自动化管理变得十分重要。这正是本系.
浏览器有关Cookie值得设计缺陷
W_seventeen的博客
02-24 255
危害 当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。只要请求域与Cookie信息所指定的域相一致,无论是访问Web页面,还是请求图片,文本等资源,用户在发出请求时都会带上CookieCookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者...
使用 cookie的一些缺陷和隐患
qq_43456220的博客
12-09 1242
在细谈此问题之前,我们不妨先来看看什么是coolie?它的用途又是什么?coolie是指某些网站为了辨别用户身份而储存在用户本地终端的的数据。cookie是一种小型文本文件。 cookie的作用是绕开HTTP的无状态性,帮助session进行对用户的追踪。举两个十分典型的例子 1 - 在我们进行网络购物时,浏览了几个网页买了一袋曲奇,两瓶饮料。当用户选购了第一项商品,服务器在向用户发送网页的同时,...
Spring Security Oauth2 JWT----单点登录、注销、续签的问题
weixin_46106066的博客
04-21 7443
什么是用户身份认证?  用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权?  用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没 有权限的资源将无法访问,这个过程叫用户授权。 单点登录 只要进行单点登录,就可以访问多个模块。  单点...
单点登录与权限管理本质:cookie安全问题
weixin_33835103的博客
03-10 595
该系列好多天没更新了,前几天请假回老家了,外公去世了。工作上也开始忙了,开始了所谓的「996」,为节奏和效率堪忧。 该系列的完整写作计划,可见:系列概述 系列第一部分索引: session和cookie介绍 HTTP重定向 单点登录介绍 cookie安全问题 权限管理介绍 继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,前一篇文章介绍了单点登录概念,以CAS协议的基本流程...
大型公司网络系统集成方案
最新发布
打工人
08-25 1029
主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
网络通讯面试题及答案
weixin_42208959的博客
03-29 4227
文章目录1. BIO 与 NIO 的区别2. select 与 poll 的区别3.请概述 OSI 网络模型4. TCP 和 UDP 的区别5.请概述 TCP 的三次握手四次挥手机制7.为什么 TCP 的挥手需要四次?8.什么是 DDOS 攻击9.什么是 SYN 洪水攻击10. HTTP1.0 和 HTTP1.1 的区别11. Https 原理是什么?12. 说说你知道的几种 HTTP 响应码。13. 如何理解 HTTP 协议的无状态性。14. Session 和 cookie 的区别。15. 用户在浏览器
计算机网络基础
weixin_43164309的博客
08-20 1062
计算机网络基础 结合着各种资料本人把计网的内容整理了一下,可能不是特别的全面,若有错误还请指正,同时也是作为复习的资料,有错误会尽快的更新。 OSI七层模型 osi(open system interconnection reference model)开放式系统互联通信参考模型 名称 作用 物理层 物理设备的传输标准,比如网线的接口类型、光纤的接口类型等等。 物理设备之间通过比特流形式进行传递(将01数据转换成电流强弱来进行传输,到达目的地后再转换成0,1)。比特:二进制 0101
【2021-09-22 修订】【梳理】计算机网络:自顶向下方法 第二章 应用层(docx)
COFACTOR
10-17 9028
计算机网络 知 识 梳 理 (第一版) 建议先修课程:数据结构。 配套教材: Computer Networking - A Top Down Approach, 7th edition James F. Kurose, Keith W. Ross 参考书目: 1、计算机网络(第7版) 谢希仁 编著 高等教育出版社 链接:https://pan.baidu.com/s/1MeSnQtQi8PYlzjFv-8RLLA 提取码:0000 二 应用层 2.1 网络应用背后的原理 现代网络应用程序常用的
单点登录(SSO)Cookie跨域问题 CAS原理
sciense的博客
04-26 7775
1、回顾单系统登陆 我么知道 Http 是无状态协议,这意味着服务器无法确认用户信息。于是W3C就提出了给每个用户发一个通行证,无论谁访问都要携带通行证,服务器通过通行证确认信息。这个通行证就是Cookie。Session相当于在服务器简历的一份“客户明细表”。Session 不能依据 Http连接来判断是否为同一个用户,于是服务器向浏览器发送一个Cookie,Session就是依据cookie来识别是否是同一用户。 流程:用户信息保存在 Session ===》如果Session可以查到放行,.
单点登录的简单理解(SSO)
H_L_S的专栏
06-13 707
实现原理 1.SSO的实现主要是通过cookie机制实现,当浏览器与后台服务交互是,浏览器会将该域名下的所有cookie键值携带到服务器,这样服务器就可以获得cookie的键值。 2.cookie的键值会保存的浏览器指定的目录,所以在同一次浏览器行为(没有关闭浏览器)。不管在这次浏览行为,跳转到任何页面,当再次跳转的原来页面时,浏览器仍然能获得上一次该域名设置的cookie (过期键除外),并且可以在与后台交互时,携带这些cookie。 主要对象 1.各种应用 2.SSO 登录服务.
Cookie的弊端
weixin_65308648的博客
07-26 2622
WebStorage的概念和cookie相似,区别是它是为了更大容量存储设计的。(2)页面被加载的时,link会同时被加载,而@import被引用的CSS会等到引用它的CSS文件被加载完再加。但是cookie也是不可以或缺的cookie的作用是与服务器进行交互,作为HTTP规范的一部分而存在,且每次你请求一个新的页面的时候Cookie都会被发送过去,这样无形浪费了带宽,另外cookie还需要。cookie虽然在持久保存客户端数据提供了方便,分担了服务器存储的负担,但还是有很多局限性的。...
请你谈谈Cookie的弊端
zxxvip的博客
06-16 6756
cookie虽然在持久保存客户端数据提供了方便,分担了服务器存储的负担,但还是有很多局限性的。 第一:每个特定的域名下最多生成20个cookie 1.IE6或更低版本最多20个cookie 2.IE7和之后的版本最后可以有50个cookie。 3.Firefox最多50个cookie 4.chrome和Safari没有做硬性限制 IE和Opera 会清理近期最少使用的cookie,Fir
什么是cookie以及cookie的特性、优缺点
Internet情缘。
09-01 1万+
什么是cookie cookie是存储于访问者计算机的变量 cookie是浏览器提供的一种机制 可以由JavaScript对其进行控制(设置、读取、删除) cookie的特性 cookie可以实现跨页面全局变量 cookie可以跨越同域名下的多个网页,但不能跨越多个域名使!用 同一个网站所有页面共享一套cookie 可以设置有效期限 存储空间4-10KB左右 cookie机...
什么是cookiecookie的优缺点。
wsdshdhdhd的博客
03-04 2302
JavaScript基础 前端 码农 新手知识点必看
探究Cookie如何实现单点登录
devilzcl的博客
05-30 2065
兄弟萌,单点登录(SSO)这个概念或许大家并不陌生,但我想有些兄弟还是没搞清楚什么叫做单点登录,下面我们先来介绍一下什么是单点登录单点登录(SSO):用户的一次登录能够得到其它所有系统的信任,便可在其它所有系统得到授权而无需再次登录。 这个概念理解起来似懂非懂,下面直接用几张图来让大家理解: 登录京东首页,会看到有登录按钮,我们点击它可以登录,登录成功后会返回发起登录请求的这个页面 我先不登录,我直接点击一个商品浏览,上方还是有登录按钮 如果我们在商品详情页面登录后,切换到首页发现也已
单点登录cas常见问题(十三) - 几个重要概念怎么理解?
热门推荐
will的成长之路
03-01 1万+
1、TGC:Ticket-granting cookie,存放用户身份认证凭证的cookie,在浏览器和CAS Server间通讯时使用,是CAS Server用来明确用户身份的凭证。TGT封装了TGC值以及此Cookie值对应的用户信息。 2、TGT:ticket granting ticket,TGT对象的ID就是TGC的值,在服务器端,通过TGC查询TGT。 3、ST:service
网格门户单点登录策略:基于GSI和Cookie的实现
"这篇论文探讨了基于cookie的网格门户单点登录策略,旨在解决网格环境用户Web登录的不便。作者姚明伟提出了一种结合GSI(Grid Security Infrastructure)和cookie技术的方法,允许经过相互认证的网格服务器安全地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值