`
highriver
  • 浏览: 72314 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

关于使用加密cookie取代session

阅读更多
目前公司想要做集群,请问关于使用加密cookie取代session方案.
分享到:
评论
20 楼 legend 2009-02-20  
liquidthinker 写道
加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?


他的意思可能是用 Cookie 取代 Session,这样服务器端不需要保存应用状态,节省服务器资源,而加密密钥则在服务器端共享,所有的客户端都是用同一个密钥。不过加密解密本身也会消耗计算资源,所以这种方法,可能只是把一个空间问题变成了一个时间问题。
19 楼 iXh 2009-02-20  
路过。。。。
18 楼 yt 2008-03-10  
这个对密码的要求很高了,如果加密算法被破解的话,那系统衣服就脱光了
17 楼 pf_miles 2008-03-09  
可以考虑专门建一个session服务器,用Berkerly DB等实现存储,把容器的标准session换掉。
16 楼 zzxplayful 2008-03-08  
你看一下CAS,它就是用cookie实现多个应用集成的,它采用的是https来加密cookie的
15 楼 jjcang 2008-03-07  
session的实现就是cookie啊。
当然还有一些其它实现,不过一般都是cookie被禁止时才用的。
14 楼 neptune 2008-03-07  
这个问题在这个论坛上,也没少谈论了吧。
cookie是不可以完全代替session的,你这里的方案,cookie存放的只是一个为一的标识(如用户id),在服务器端你还是要维护session的数据的,例如把session如果放到memcache中。除非需求对session的数据量要求非常少,几个或十几个时可以使用加密cookie来处理,但为了系统的扩展性,不知这种实现还可以吗。
13 楼 flyraincn 2008-03-07  
liquidthinker 写道
加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?


前提是集群,要拿客户端的cookie与服务器端的副本比较的话,那就得服务器间同步cookie副本,那与同步session有什么区别
12 楼 lixjluck 2008-03-07  
可以参考一下acegi的RememberMeService的实现。
11 楼 lixjluck 2008-03-07  
用户信息、权限列表可以放在cache里,不一定非是session.
10 楼 neptune 2008-03-07  
不知道你的session中有大数据量时,你该如何处理。

例如:用户信息、权限列表。
9 楼 suxy 2008-03-06  
两年前看过roller的实现,大概是这样:

1. 对用户唯一标记(可能是id,记不清了)根据某个算法加密为一个字符串,把这个字符串写入cookie,并存入数据库。
2. 用户发起请求时先从本地取cookie,并根据请求的用户id去数据库中查找它对应的cookie,如果跟本地cookie相同,则认为是正确的用户,重复步骤1的操作。如果不同,则验证失败。

上述操作是在一个filter中进行的。

大概就是这样,不知道我说清楚没有
8 楼 rojazz1999 2008-03-06  
本人立志成为Javaeye的灌水之王,请大家多多支持.
7 楼 liquidthinker 2008-03-06  
加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?
6 楼 hexiaodong 2008-03-06  
为什么要加密cookie?用随机字符串作cookie值就行了,在集中式认证服务器上,把这个随机值和用户Id做一个映射。
5 楼 aunox 2008-03-06  
可以更改cookies内容。
4 楼 lumin 2008-03-05  
flyraincn 写道
能不能把cookie中的信息加密一下,服务端处理时解密一下,只要能防止cookie中的信息不被篡改就行了吧

cookies中的信息可以更改吗?应该不能吧!
3 楼 flyraincn 2008-03-04  
能不能把cookie中的信息加密一下,服务端处理时解密一下,只要能防止cookie中的信息不被篡改就行了吧
2 楼 highriver 2008-03-03  
看到有人推荐apache下的roller实现的是这种方式.我对rails不熟悉.只是想找一个完速的方案.因为领导要求将所有的httpSession替换,以便集群时避免session的复制.网上查了一下,想通过cookie来解决.哪位对roller熟悉呢?
1 楼 magicgod 2008-03-03  
参考一下rails 2.0的缺省session方式就是这样

相关推荐

    2018年度大数据时代的互联网信息安全测试题及答案.pdf

    2. Cookie和Session的使用 Cookie和Session是互联网上最常见的用于存储用户状态信息的技术。Cookie保存在用户的本地计算机上,而Session信息则保存在服务器端。在大数据时代,这些技术常被用来跟踪用户行为,进行...

    java-servlet-api.doc

    客户端选择不加入Session,例如,如果客户端拒绝接收来自服务器的cookie 作为一个Servlet的开发者,你必须决定你的Web应用是否处理客户机不加入或不能加入Session。服务器会在Web服务器或Servlet规定的时间内维持一...

    在SpringBoot中使用JWT的实现方法

    它是一种基于 token 的身份验证机制,可以取代传统的 cookie 或 session 机制。JWT 的主要特点是无状态、可扩展和安全。 JWT 的组成部分 JWT 由三个部分组成: 1. Header(头部信息):包含算法和 token 类型等...

    基于ASP的简单好用的ASP商城系统st-shop v1.4.zip

    3. 购物车功能:购物车功能需要跟踪用户选择的商品,通常通过Cookie或Session来实现。ASP中可以创建自定义对象来存储购物车中的商品信息,并提供添加、删除、修改购物车商品以及计算总价等操作。 4. 订单处理:从...

    基于ASP的某地方家教网整站源码 v1.1.zip

    5. ASP的缺点与升级:尽管ASP在20世纪末至21世纪初广泛使用,但由于其性能限制和安全性问题,逐渐被ASP.NET所取代。ASP.NET提供了更强的性能、更丰富的功能和更好的安全特性。 【家教网网站开发要点】 1. 用户注册...

    ASP访问数据库的方法 9

    - **会话管理**:使用Session对象管理用户会话,保存用户状态信息。 ##### 1.4 ASP+ACCESS的安全隐患及对策 **安全隐患** - **SQL注入攻击**:恶意用户可以通过输入特殊的SQL命令来操纵数据库。 - **信息泄露**...

    基于ASP的ASP购物网站系统源码 G202205.zip

    购物车数据可能通过Cookie或Session在用户会话中持久化。 5. 订单处理:用户完成购物后,系统需要处理订单,包括确认收货地址、支付方式选择、生成订单号等。这通常涉及到与第三方支付接口(如PayPal、微信支付等)...

    ASP 网上商城之王

    4. **购物车功能**:ASP能构建购物车系统,使用Cookie或Session来存储用户选择的商品信息。用户添加、删除商品,调整数量,最后结算时生成订单。 5. **支付接口集成**:网上商城通常需要集成第三方支付平台,如...

    rfc1945.zip_HTTP/1.0_Hypertext_RFC1945

    为了实现会话跟踪,通常需要借助Cookie或Session机制。 5. **缓存机制**: - HTTP/1.0引入了缓存机制,通过Cache-Control和Pragma头来控制资源的缓存策略,减少不必要的网络传输,提高性能。 6. **编码处理**: ...

    ASP网上书店管理系统(源代码+论文).rar

    这部分通常涉及到用户身份验证、密码加密存储等安全措施,以及使用Session或Cookie来跟踪用户状态。 2. 图书展示:数据库中的图书信息会被检索并展示在页面上,包括书名、作者、出版社、价格等。这涉及到SQL查询和...

    基于ASP的装修建站系统.zip

    4. **安全性考虑**:ASP建站系统需要确保用户数据的安全,例如采用加密技术保护用户密码,防止SQL注入攻击,以及使用session和cookie进行用户身份验证。 5. **响应式设计**:随着移动设备的普及,建站系统需要支持...

    ASP源码—橙光乐园ASP网上选课系统 v1.7.zip

    - Session和Cookie:用来跟踪用户状态,如登录信息、购物车内容等。 - Server对象和Response对象:Server对象提供了访问服务器信息和执行服务器方法的能力,而Response对象则负责向客户端发送响应。 【优化与升级】...

    ASP.NET亲密接触

    ASP.NET提供了多种状态管理机制,包括视图状态(View State)、隐藏字段、Cookie、查询字符串以及Session。状态管理允许在用户浏览多个页面或交互时保持数据,这对于构建有状态的应用程序至关重要。 五、MVC框架 ...

    J2EE武功秘籍

    Cookie和Session的区别** - **Cookie**: - 存储在客户端浏览器中。 - 大小限制通常不超过4KB。 - 可以设置过期时间。 - **Session**: - 存储在服务器端。 - 没有大小限制。 - 自动管理生命周期。 **6. ...

    超级有影响力霸气的Java面试题大全文档

    从内存方面来看, Stateful Session Bean 与 Stateless Session Bean 比较, Stateful Session Bean 会消耗 J2EE Server 较多的内存,然而 Stateful Session Bean 的优势却在于他可以维持使用者的状态。 12、...

    VB+ASP+ACCESS网络验证

    如果验证成功,ASP将生成一个包含用户认证信息的会话(Session)或cookie,以便后续页面能识别用户状态。 **ACCESS数据库** 是微软的轻量级关系型数据库管理系统,适用于小型应用。在这个系统中,ACCESS数据库存储...

Global site tag (gtag.js) - Google Analytics