|
锁定老帖子 主题:关于使用加密cookie取代session
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2008-03-03
目前公司想要做集群,请问关于使用加密cookie取代session方案.
声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
| 返回顶楼 | |
|
发表时间:2008-03-03
参考一下rails 2.0的缺省session方式就是这样
|
| 返回顶楼 | |
|
发表时间:2008-03-03
看到有人推荐apache下的roller实现的是这种方式.我对rails不熟悉.只是想找一个完速的方案.因为领导要求将所有的httpSession替换,以便集群时避免session的复制.网上查了一下,想通过cookie来解决.哪位对roller熟悉呢?
|
| 返回顶楼 | |
|
发表时间:2008-03-04
能不能把cookie中的信息加密一下,服务端处理时解密一下,只要能防止cookie中的信息不被篡改就行了吧
|
| 返回顶楼 | |
|
发表时间:2008-03-05
flyraincn 写道 能不能把cookie中的信息加密一下,服务端处理时解密一下,只要能防止cookie中的信息不被篡改就行了吧
cookies中的信息可以更改吗?应该不能吧! |
| 返回顶楼 | |
|
发表时间:2008-03-06
可以更改cookies内容。
|
| 返回顶楼 | |
|
发表时间:2008-03-06
为什么要加密cookie?用随机字符串作cookie值就行了,在集中式认证服务器上,把这个随机值和用户Id做一个映射。
|
| 返回顶楼 | |
|
发表时间:2008-03-06
加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?
|
| 返回顶楼 | |
|
发表时间:2008-03-06
两年前看过roller的实现,大概是这样:
1. 对用户唯一标记(可能是id,记不清了)根据某个算法加密为一个字符串,把这个字符串写入cookie,并存入数据库。 2. 用户发起请求时先从本地取cookie,并根据请求的用户id去数据库中查找它对应的cookie,如果跟本地cookie相同,则认为是正确的用户,重复步骤1的操作。如果不同,则验证失败。 上述操作是在一个filter中进行的。 大概就是这样,不知道我说清楚没有 |
| 返回顶楼 | |
|
发表时间:2008-03-07
不知道你的session中有大数据量时,你该如何处理。
例如:用户信息、权限列表。 |
| 返回顶楼 | |
