GWT: Speicherung der Session-ID im cookie, und was dann?
Bin ich derzeit eine Seite mit GWT, wird gehostet auf AppEngine. Ich mache es mit meinem eigenen logins, die ich mache (ich weiß, bietet Google etwas mit GWT, aber ich brauche mein eigenes login-system), und ich habe versucht, herauszufinden, Sitzungen für eine ganze Weile jetzt. Ich habe ein paar tutorials, und eine der Seiten, die ich gelesen hatte, ist http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ
Gibt es einen Abschnitt zum Thema "Wie Erinnern Logins". Ich weiß, wie man die session-ID, und speichern Sie es auf dem client in einem cookie durch einen RPC-Aufruf. Was ich nicht verstehe ist, schließlich nach einem Tag oder so, kommt der Benutzer zurück und ich soll, um die session-ID aus dem cookie aus und senden Sie es zurück an den server. Was soll ich tun auf dem server, um sicher zu beurteilen, ob die session-ID ist immer noch legal, und ziehen Sie alle notwendigen Informationen über den Benutzer?
Zusätzliche Fragen:
1. Was würde die session-ID ändern?
2. Was ist, wenn der Benutzer auf ein laptop, und der Benutzer woanders hingingen. Wäre er noch in der Lage sein werden sicher wieder angemeldet, ohne in seinem login und Passwort wieder?
Dank!
~Scott
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ähnliche Frage: Frage auf GWT, Cookies und Webseite lenken.
Eine wichtige Sache, die Sie sollten daran denken: nicht auf cookies angewiesen sind allein die übertragung der session-ID/token in die Nutzdaten der Anfrage zu und vergleichen es mit dem cookie-Wert auf der server-Seite. Dies wird verhindern, dass XSRF-Angriffe. Das ist die Art von Sache, die Sie sollten besorgt sein.
Die Richtlinie zum Umgang mit session-IDs hängt davon ab, wie ernst nehmen Sie die Sicherheit in Ihrer Anwendung und welche Art von Anwendung ist es. Zum Beispiel, können Sie sich mit dem gleichen token auf GMail von verschiedenen IPs - ich nehme an, Sie dürfen das, weil es üblich, dass die IP des Nutzers, änderungen über die sessions. Sie haben jedoch ein feature hinzufügen, das Ihnen erlaubt, um zu sehen, aus denen die IPs der Benutzer angemeldet vor kurzem. Und vergessen Sie nicht, über die Benutzer mit dynamischen IPs (eine Recht große Anzahl) - wenn Sie verfolgen, Token und IP-Adressen, die Sie im Grunde verbieten die Benutzer gehalten werden protokolliert, in zwischen den Sitzungen.
Sollten Sie verfolgen die session-IDs/Anmeldung Paare in deiner DB.
Entweder es läuft oder der Benutzer versucht, sich mit einem token, das nicht gebunden ist, um Ihre IP. Man könnte hinzufügen, Ihre eigenen Regeln zu wie die Anzahl der logins, etc. Für zusätzliche Sicherheit können Sie erzeugen eine neue session-ID/token auf jedem neuen login/Sitzung (der Benutzer authentifiziert sich mit dem alten token, prüft der server, dass es gültig ist und sendet dann wieder die Anwender mit dem neuen token, die er/Sie verwenden sollten von nun an).
Daran zu erinnern, logins, die Sie brauchen, um sicher zu generieren, die eine eindeutige Sitzungs-id. Normalerweise werden diese in einem cookie. Ich würde empfehlen, mit einem Rahmen, der nicht session-cookies für Sie. Falsch verstanden haben können, lassen Sie Ihre Website weit offen für Missbrauch. Dinge, die zu berücksichtigen sind:
Antworten auf Ihre weiteren Fragen sind.