|
锁定老帖子 主题:关于使用加密cookie取代session
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2008-03-07
用户信息、权限列表可以放在cache里,不一定非是session.
|
| 返回顶楼 | |
|
发表时间:2008-03-07
可以参考一下acegi的RememberMeService的实现。
|
| 返回顶楼 | |
|
发表时间:2008-03-07
liquidthinker 写道 加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?
前提是集群,要拿客户端的cookie与服务器端的副本比较的话,那就得服务器间同步cookie副本,那与同步session有什么区别 |
| 返回顶楼 | |
|
发表时间:2008-03-07
这个问题在这个论坛上,也没少谈论了吧。
cookie是不可以完全代替session的,你这里的方案,cookie存放的只是一个为一的标识(如用户id),在服务器端你还是要维护session的数据的,例如把session如果放到memcache中。除非需求对session的数据量要求非常少,几个或十几个时可以使用加密cookie来处理,但为了系统的扩展性,不知这种实现还可以吗。 |
| 返回顶楼 | |
|
发表时间:2008-03-07
session的实现就是cookie啊。
当然还有一些其它实现,不过一般都是cookie被禁止时才用的。 |
| 返回顶楼 | |
|
发表时间:2008-03-08
你看一下CAS,它就是用cookie实现多个应用集成的,它采用的是https来加密cookie的
|
| 返回顶楼 | |
|
发表时间:2008-03-09
可以考虑专门建一个session服务器,用Berkerly DB等实现存储,把容器的标准session换掉。
|
| 返回顶楼 | |
|
发表时间:2008-03-10
这个对密码的要求很高了,如果加密算法被破解的话,那系统衣服就脱光了
|
| 返回顶楼 | |
|
发表时间:2009-02-20
liquidthinker 写道 加密cookie?不太明白意图。不管cookie加密与否,都需要在服务器端维护一个副本,只需要拿客户端的cookie到服务器端的副本比较验证就行了,既然都要验证,加不加密有什么区别呢。如果不在服务器上维护副本,又不用session,怎么维护状态呢。既然要在服务器上维护客户端cookie的副本,又跟使用session有合区别呢。我没看懂,还是楼主是想说sso?
他的意思可能是用 Cookie 取代 Session,这样服务器端不需要保存应用状态,节省服务器资源,而加密密钥则在服务器端共享,所有的客户端都是用同一个密钥。不过加密解密本身也会消耗计算资源,所以这种方法,可能只是把一个空间问题变成了一个时间问题。 |
| 返回顶楼 | |
