Kyn*_*nao 3 security playframework
Play中的无状态操作模式!据说框架不如有状态模式安全.它如何影响Play框架,是否有可能改善关键公共Web应用程序的安全性缺陷?
首先,你说无国籍人不太安全吗?你有什么特别的理由认为是这种情况吗?
无状态模型的想法是,您不会在服务器端不必要地将数据存储在会话中,这导致您必须在会话期间在同一服务器上继续"会话聊天".
如果您想模仿J2EE会话,那么您只需session.id在数据库中使用并存储所有状态,并在会话结束时删除.
会话cookie本身已签名,因此无法被篡改,因此无需担心有人可以劫持会话ID,但如果您特别担心,那么您只需将自己的标识符存储在会话cookie中,然后对其进行加密即可.Crypto使用应用程序的密钥来加密/解密数据的实用程序类.
无状态只是心态的改变,只要你不会在会话中不必要地存储数据(这可能就是你来自哪里),那么你应该很少担心.
| 归档时间: |
|
| 查看次数: |
2130 次 |
| 最近记录: |