瓦史托德 2018-08-06 03:12 采纳率: 100%
浏览 1967
已采纳

java单点登录session的问题

1.如何管理全局session的过期时间?
全局session必须在所有局部session过期才会过期,这不是每次操作都得更新一下?或者设置为永久,监听所有局部session过期后手动失效?
2.为什么都要使用token来验证?
看了很多像cas都有token,直接看这个全局的session(或者redis)是否验证过就行了,还要搞个token有特殊意义吗?
3.是否有必要存cookie(还是token),因为可以用jsessionid
好像没币了....

  • 写回答

1条回答 默认 最新

  • 玄尺 2018-08-06 05:37
    关注

    1、session的目的是为了在服务器端维护用户的信息,为了避免大量用户接入,而每个用户访问时长都很短,这才给session添加超时的约束。基于这个前提,session一般设计的时候可以不需要每次操作都需要刷新,一旦超时,可以让用户再次登录。当然用户体验上不是很好,但是这自然是没问题的。
    我们一般采用折中的方案,我们选取操作流程中的安全点,安全点是指我们核心业务中用户必定会操作的点,只在安全点上进行刷新用户session,这样可以解决你的问题。

    2、token机制是为了安全,但是仅仅使用token时不够的,结合你的第一个问题,一般都是用户登录的时候生成token,而且token必须经常刷新。如果没有token保护,web接口基本上任何人都可以调用,如果是一般read操作也就罢了,但是如果是写操作,想想就可怕,直接通过接口篡改用户数据。。。

    3、jessionId这是框架生成Id,但是我们一般都是全局session,所以sessionId都是自己生成的。cookie和session功能都是一样的,都是为了保存用户信息,只不过一个在客户端一个在服务器。至于用不用,怎么用还是看需求,辅之安全性考虑。

    建议你读一下HTTP的RFC文档,你说的这几个问题涉及到HTTP的用户信息保存、安全性。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • java单点登录session问题 java
    2018-08-06 03:12
    回答 1 已采纳 1、session的目的是为了在服务器端维护用户的信息,为了避免大量用户接入,而每个用户访问时长都很短,这才给session添加超时的约束。基于这个前提,session一般设计的时候可以不需要每次操作
  • java 集成Isc统一权限认证登录 java
    2022-05-18 16:50
    回答 1 已采纳 公司统一权限平台系统版本统一认证应急功能集成说明- 技术资料下载 - 21ic电子技术资料下载站 一、目标及背景ISC统一认证,是提供
  • 关于java集成ouath2 认证的退出问题 java
    2018-06-11 02:09
    回答 2 已采纳 试试,在验证登录账户名和密码通过之后,做一个session判断,如果已存在session并且和当前用户名不同(我假设你session的key值里含有当前用户信息,比如包含用户名),则销毁session
  • Spring session实现共享单点登录案例过程解析
    2020-08-18 22:52
    "Spring session实现共享单点登录案例过程解析" 本文主要介绍了Spring session实现共享单点登录案例过程解析,通过示例代码详细介绍了Spring session实现共享单点登录的过程。 一、项目构建 要实现共享单点登录,...
  • 单点登录中 客户端登录认证中心后返回资源页报错500 java tomcat
    2017-09-01 07:56
    回答 2 已采纳 问题出在这 org.jasig.cas.client.util.XmlUtils.getXmlReader(XmlUtils.java:58) 这个应该不是鉴权问题 你登录后直接访问这个页面试试
  • 关于springboot sso单点登录 那个才算真正的sso? java maven spring boot
    2021-10-22 13:58
    回答 1 已采纳 sso就是一个概念,同个公司不同账号,可以使用同一套账号登录就是sso。我们直接用一个数据库啊。
  • spring security cas单点登录拒绝访问 spring
    2012-06-06 12:11
    回答 1 已采纳 Spring Security与CAS集成,第一次访问客户端页面,出现异常是正常的,因为Spring Security有个异常拦截的filter拦截到访问拒绝异常,才会跳转到入口点entry-poin
  • java 单点登录源代码
    2014-11-10 15:48
    Java 单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次认证即可访问其他关联的应用系统。在Java Web开发中,SSO能够提高用户体验,减少频繁登录的繁琐过程。下面...
  • 如何动态储存每行的id到session连接数据库添加到表 java 数据库
    2023-04-19 22:05
    回答 1 已采纳 该回答引用ChatGPT-3.5 为了动态储存每行的id到session连接数据库添加到表,可以在pc2.jsp页面的完成按钮的链接中添加一个参数,该参数值为订单id,如下所示: <a href
  • pentaho5.x cas单点登录问题《求助》
    2016-08-26 05:39
    回答 2 已采纳 单点登录原理与简单实现 https://www.cnblogs.com/ywlaker/p/6113927.html
  • 学习龙虾三少springboot+mybatis 一切运行顺畅但数据库不增加数据 idea java 有问必答
    2021-06-30 17:11
    回答 6 已采纳 远程看吧 这代码有点多,用肉眼筛选的话 不方便,你私聊我
  • x-uni-session:单点登录session服务端
    2021-05-11 17:01
    综上所述,"X-uni-session:单点登录session服务端"是一个基于Java构建的SSO解决方案,它利用Java的Web技术,如Servlet、Filter和session管理,以及可能的Token机制,实现用户在多个应用之间的无缝登录。同时,考虑到...
  • 请教关于session传送的问题
    2008-08-06 09:00
    回答 4 已采纳 对于tomcat来说,多个web app无法共享session。除非你自己写HttpSession替换掉Tomcat默认的实现。 或者你可以完全放弃JavaSession机制,自己采用cook
  • [Java实现单点登录session ]
    2023-06-13 10:22
    是汤圆丫的博客 单点登录场景下,可以在用户登录成功后,将用户信息存储在session中,并在WebSocket广播中发送新的用户信息给所有已登录的客户端,以保证其他客户端可以及时更新用户信息。 在单点登录的场景中,用户只需要登录一...
  • java实现单点登录
    2022-07-14 13:55
    wxf11211的博客 java单点登录介绍,JWT以及CAS原理介绍以及java代码实现
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 网络科学导论,网络控制
  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
  • ¥50 如何openEuler 22.03上安装配置drbd
  • ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
  • ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)