java单点登录session的问题

1.如何管理全局session的过期时间?
全局session必须在所有局部session过期才会过期,这不是每次操作都得更新一下?或者设置为永久,监听所有局部session过期后手动失效?
2.为什么都要使用token来验证?
看了很多像cas都有token,直接看这个全局的session(或者redis)是否验证过就行了,还要搞个token有特殊意义吗?
3.是否有必要存cookie(还是token),因为可以用jsessionid
好像没币了....

1个回答

1、session的目的是为了在服务器端维护用户的信息,为了避免大量用户接入,而每个用户访问时长都很短,这才给session添加超时的约束。基于这个前提,session一般设计的时候可以不需要每次操作都需要刷新,一旦超时,可以让用户再次登录。当然用户体验上不是很好,但是这自然是没问题的。
我们一般采用折中的方案,我们选取操作流程中的安全点,安全点是指我们核心业务中用户必定会操作的点,只在安全点上进行刷新用户session,这样可以解决你的问题。

2、token机制是为了安全,但是仅仅使用token时不够的,结合你的第一个问题,一般都是用户登录的时候生成token,而且token必须经常刷新。如果没有token保护,web接口基本上任何人都可以调用,如果是一般read操作也就罢了,但是如果是写操作,想想就可怕,直接通过接口篡改用户数据。。。

3、jessionId这是框架生成Id,但是我们一般都是全局session,所以sessionId都是自己生成的。cookie和session功能都是一样的,都是为了保存用户信息,只不过一个在客户端一个在服务器。至于用不用,怎么用还是看需求,辅之安全性考虑。

建议你读一下HTTP的RFC文档,你说的这几个问题涉及到HTTP的用户信息保存、安全性。

weixin_37893887
玄尺 回复u014794644: 接口的安全性通过token进行保证,token生成是用户授权来保证,用户授权是用户密码保证,也是就是说只要用户密码能够保证安全,我们的接口安全性就可以使用token进行保证。这里的接口一般来说是无状态的(不需要session),如果使用session的话可以不需要token验证接口安全,只要维护好sessionId安全就可以了
接近 2 年之前 回复
u014794644
瓦史托德 回复u014794644: 还有cookie存token,我没有想到集群sessionId不同的情况--!
接近 2 年之前 回复
u014794644
瓦史托德 token不是只验证登录,接口安全设置权限 ?
接近 2 年之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐