Bob używa aplikacji internetowej, aby coś osiągnąć. I:

Jego przeglądarka jest na diecie, dlatego nie obsługujeciasteczka.Aplikacja internetowa jest popularna, zajmuje się wieloma użytkownikami w danym momencie - musiskala dobrze. Tak długo, jak długo utrzyma się sesjaograniczenie liczby jednoczesnych połączeńi, oczywiście, przyniesie nieistotnekara za wydajność, możemy chcieć mieć system bez sesji :)

Kilka ważnych uwag:

mamybezpieczeństwo transportu (HTTPS i jego najlepsi przyjaciele);za zasłonami aplikacja internetowa deleguje wiele operacjiusługi zewnętrzne, na prądw imieniu użytkownika (systemy te rozpoznają Boba jako jednego z ich użytkowników) - to znaczymusimy przekazać im referencje Boba.

Jak teraz uwierzytelnić Boba (na każde żądanie)? Jaki byłby rozsądny sposób wdrożenia takiej rzeczy?

gratenis ziemny z poświadczeniami za pośrednictwemHTML tworzy ukryte pola...piłka zawiera poświadczenia (Nazwa użytkownika Hasło) idwie rakiety to odpowiednio przeglądarka i aplikacja internetowa. Innymi słowy, możemy przesyłać dane tam iz powrotem za pomocą pól formularza zamiast za pomocą plików cookie. Przy każdym żądaniu internetowym przeglądarka wysyła poświadczenia. Chociaż w przypadku aaplikacja jednostronicowa, to może wyglądać jak gramiąższ zamiast gumowej ściany, zamiast graćtenis ziemny, jakformularz internetowy zawierające poświadczenia mogą być utrzymywane przy życiu przez cały okres użytkowaniaStrona internetowa (a serwer zostanie skonfigurowany tak, aby nie oferować poświadczeń z powrotem).przechowywanie nazwy użytkownika i hasła w kontekście strony - zmienne JavaScript itp. Wymagana pojedyncza strona, IMHO.szyfrowane uwierzytelnianie oparte na tokenach. W tym przypadku akcja logowania spowoduje wygenerowanie zaszyfrowanego tokena zabezpieczającego (nazwa użytkownika + hasło + coś innego). Ten token zostanie dostarczony klientowi, a nadchodzącym żądaniom będzie towarzyszył token. Czy to ma sens? Mamy już HTTPS ...inni ...ostatnia deska ratunku: nie rób tego, przechowuj poświadczenia podczas sesji! Sesja jest dobra. Z ciasteczkami lub bez.

Czy jakikolwiek problem związany z bezpieczeństwem sieci web / bezpieczeństwa przychodzi Ci do głowy, jeśli chodzi o którekolwiek z wcześniej opisanych pomysłów? Na przykład,

czas na wyjście - możemy zachowaćznak czasu, wraz z poświadczeniami (znacznik czasu = czas, w którym Bob wprowadził swoje dane uwierzytelniające). Na przykład. gdyNOW - znacznik czasu> próg, możemy zaprzeczyć prośbie.Skrypty krzyżowe ochrona - nie powinna być w żaden sposób inna, prawda?

Dziękuję bardzo za poświęcenie czasu na przeczytanie tego :)