Bob usa una aplicación web para lograr algo. Y:

Su navegador está a dieta, por lo tanto no soporta.galletas.La aplicación web es popular, se ocupa de muchos usuarios en un momento dado, tiene queescala bien. Siempre y cuando la sesión se imponga.Un límite al número de conexiones simultáneas.Y, por supuesto, traerá un no despreciable.penalización de rendimiento, nos gustaría tener un sistema sin sesión :)

Algunas notas importantes:

nosotros tenemosseguridad del transporte (HTTPS y sus mejores amigos);Detrás de las cortinas, la aplicación web delega muchas operaciones paraservicios externosen actualnombre del usuario (esos sistemas reconocen a Bob como uno de sus usuarios) - esto significa queTenemos que enviarles las credenciales de Bob..

Ahora, ¿cómo autenticamos a Bob (en cada solicitud)? ¿Cuál sería una manera razonable de implementar tal cosa?

jugandotenis con las credenciales viaFormulario HTML campos ocultos... labola contiene las credenciales (usuario Contraseña) y eldos raquetas Son el navegador y la aplicación web respectivamente. En otras palabras, podemos transportar datos de un lado a otro a través de campos de formulario en lugar de a través de cookies. En cada solicitud web, el navegador publica las credenciales. Aunque, en el caso de unaplicación de una sola página, esto puede parecer como jugarsquash Contra una pared de goma, en lugar de jugar.tenis, como elformulario web que contienen las credenciales pueden mantenerse con vida toda la vida útil de lapágina web (y el servidor se configurará para no ofrecer las credenciales nuevamente).almacenar el nombre de usuario y la contraseña en el contexto de la página - variables de JavaScript, etc. Se requiere una sola página aquí, IMHO.autenticación basada en token cifrada. En este caso, la acción de inicio de sesión resultaría en la generación de un token de seguridad cifrado (nombre de usuario + contraseña + algo más). Este token se devolverá al cliente y las próximas solicitudes irán acompañadas del token. ¿Esto tiene sentido? Ya tenemos HTTPS ...otros...último recurso: no haga esto, almacene las credenciales en la sesión! La sesión es buena. Con o sin galletas.

¿Le viene a la mente alguna inquietud relacionada con la web / seguridad, con respecto a alguna de las ideas descritas anteriormente? Por ejemplo,

tiempo fuera - podemos mantener unmarca de tiempo, junto con las credenciales (marca de tiempo = la hora en que Bob ingresó sus credenciales). P.ej. cuandoAHORA - marca de tiempo> umbral, podríamos negar la solicitud.Secuencias de comandos entre sitios Protección - no debería ser diferente de ninguna manera, ¿verdad?

Muchas gracias por tomarse el tiempo para leer esto :)