如题,类似163的通行证方案说明:
各子模块域名: 模块名.mysite.cn
各子模块用不同语言开发,且不在同一台服务器上要求:
一次登录,全站通用
若用户长时间未动作,超时自动退出====
俺参考过一些开源项目,比如,JOSSO,Yale CAS,感觉都不太爽
俺倒是想到了一点,用Cookie
如果,对于Cookie的安全性又有点担忧
而且,用纯Cookie,则超时也好做
如果用Cookie+Session,感觉也不爽,邀请大家一块讨论...........
加QQ:147111542
各子模块域名: 模块名.mysite.cn
各子模块用不同语言开发,且不在同一台服务器上要求:
一次登录,全站通用
若用户长时间未动作,超时自动退出====
俺参考过一些开源项目,比如,JOSSO,Yale CAS,感觉都不太爽
俺倒是想到了一点,用Cookie
如果,对于Cookie的安全性又有点担忧
而且,用纯Cookie,则超时也好做
如果用Cookie+Session,感觉也不爽,邀请大家一块讨论...........
加QQ:147111542
我的网站就是这样实现的,网易通行证也是这样。
再在163上面跑一跑,结果是:仍然在线,清空Cookie讲没有让你注销
也就是说,163用的并不是纯Cookie, 这点不重要Cookie我可以设它的过期时间,
到了这个过期时间的时候,不管用户仍然在是活动状态也好,不是活动状态也好,它都会失效
这样肯定不合适
所以把Cookie保存在浏览器进程,则浏览器不关,它一直存在
若用户己经是长时间未动用了,那怎样检测它超时?=========
请教 tomuno(特别行动组)
联明帐户是咋回事?
能不能详谈一点
具体怎么实现的,我还不清楚
相关技术有sso和saml
第一:你的cookie要加密,即用户不能通过模拟cookie就可以模拟每个用户的在线
第二:要做一个模拟session的东西,,就是要建立一个客户端和用户端的东西,来管理用户cookie超时后的动作!
Cookie我可以设它的过期时间,
到了这个过期时间的时候,不管用户仍然在是活动状态也好,不是活动状态也好,它都会失效
这样肯定不合适
所以把Cookie保存在浏览器进程,则浏览器不关,它一直存在
若用户己经是长时间未动用了,那怎样检测它超时?
=================
对于通行证系统,只要应用检测不到用户端的Cookie,就认为用户已经退出通行证。
我不知道你要达到什么样的效果,一般来说登录通行证是会写一个时长的,这样开新的浏览器也会认为用户是登录状态的,当然要提醒用户为了保证安全,请在使用结束后退出通行证,一旦通行证签退,所有的应用都检测不到Cookie,当然也都退出了。
需要身份验证时,根据用户的登陆数据在证书服务器获取相应的证书,并保存在用户的cookie中。
这样在证书服务器保存用户数据,各站点需要时可以使用证书获取
yale CAS好像就是这个思想,不过,不是用cookie的我现在遇到的问题其实很简单
可能是我说得太复杂我要的效果就是
用cookie实现类似session的效果:
只要用户在活动,cookie就有效
关闭浏览器,或者用户在一段时间内(比如20分钟)未动作,cookie失效-------
如果给cookie设了过期时间,那到了时间的时候,即使用户仍在活动,cookie还是会失效,这不是我想要的
用户登陆-->更新在线-->客户端第隔几分钟主动地请求用户在线状态
服务器端-->不在看用用户在不在线,
这样当用户一定时间不活动后,,用户也不就能主动地请求用户在线状态,服务器就可以认为他不在线了。这个就模拟了Session