只是想知道我的以下身份验证方法是否正确。是否有任何陷阱或缺少什么?非常欢迎提出建议和讨论。
1> 用户提供用户名和密码,通过RPC发送到服务器。与存储在 DB 中的哈希值进行比较。
2> 假设用户名和密码正确,则在会话中保存一个 Auth Token。访问 servlet 时将检查身份验证令牌。
3> 用户id(整数)通过RPC onSuccess返回给客户端。用户 ID 保存在客户端的静态变量中。
4> 每当需要用户特定信息时,带有用户 ID(静态变量)的 rpc 调用将被发送到服务器进行数据库查询。
谢谢
【问题讨论】:
您最好将token返回客户端,并验证token而不是用户id。 如果使用了user id,用户A已经登录,那么另一个用户可以冒充用户A向服务器发送请求。您的身份验证方法未能保护数据。
【讨论】:
您无需向客户端发送用户 ID。服务器已经拥有识别用户所需的所有信息。
这段代码 sn-p 创建了一个会话 cookie,使用session.getId() 你可以得到它的内容,你应该保存它来识别用户:
HttpServletRequest request = this.getThreadLocalRequest();
HttpSession session = request.getSession(true);
然后当用户调用你的服务器时,你只需读回会话 id。
HttpServletRequest request = this.getThreadLocalRequest();
HttpSession session = request.getSession(false);
使用session.invalidate()可以销毁会话,也可以在会话中使用store objects。
this.getThreadLocalRequest() 仅适用于 *Impl 。
【讨论】:
你引用了
3> 用户id(整数)通过RPC onSuccess返回给客户端。用户 ID 保存在客户端的静态变量中。
如果用户刷新他的页面,存储在客户端静态字段中的值将被重置,对吗?在那种情况下,会议会结束吗?并且会提示用户再次登录?
【讨论】: