相关疑难解决方法(0)

我希望几个相关Web应用程序的客户端保持自己的身份验证状态.这提高了可伸缩性,因为不需要群集节点之间的会话复制.它使得Java Servlets和PHP等不同服务器技术的集成变得更加容易.

我的计划如下:

1. 在客户端身份验证后,使用用户名和会话到期时间设置已签名和加密的cookie.
2. 当客户端发送请求时,服务器会解密并验证cookie,并根据cookie值授予或拒绝访问权限.
3. 会话到期将通过重置cookie进行更新.

所有想要使用会话的服务器只需知道cookie机制和解密密钥.另请参阅:客户端层中的会话状态

这种方法可以吗？是否可以将它集成到servlet容器/应用程序服务器中,以便它对应用程序透明？例如,servlet应该能够使用HttpServletRequest#getRemoteUser().这可能吗？或者我是否需要像Spring Security这样的容器级别以上的东西？是否有任何现有的客户端会话管理库？