我正在使用 Google App Engine for Java,并且希望能够在子域之间共享会话数据:
我需要这样做的原因是我需要能够检测到用户在尝试访问 user1.myapp.com 时是否登录了 www.myapp.com。我想这样做是为了给他们自己的子域的管理能力,并允许他们在子域之间无缝切换而无需再次登录。
我愿意在子域之间共享所有 cookie 数据,这可以使用 Tomcat 实现,如下所示:Share session data between 2 subdomains
使用 Java 中的 App Engine 可以做到这一点吗?
我得到了一个很好的提示,我可以使用域设置为“.myapp.com”的 cookie 来共享信息。这允许我将“current_user”之类的内容设置为“4”,并可以在所有子域上访问它。如果用户没有活动会话,我的服务器代码可以负责检查 cookie。
这仍然不允许我访问原始会话(这似乎不可能)。
我现在关心的是安全。我是否应该仅根据 cookie ("current_user" == user_id) 对用户进行身份验证?这似乎非常不安全,我当然希望我错过了一些东西。