JWorld@TW the best professional Java site in Taiwan
      註冊 | 登入 | 全文檢索 | 排行榜  

» JWorld@TW » Servlet/JSP 討論區  

按列印兼容模式列印這個話題 列印話題    把這個話題寄給朋友 寄給朋友   
reply to postflat modego to previous topicgo to next topic
本主題所含的標籤
無標籤
作者 Re:在不同的網站間分享session [Re:jini]
chency





發文: 1
積分: 0
於 2003-12-21 02:15 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
jini wrote:
親愛的各位

我完全不知道大家現在在討論什麼 我完全看得霧煞煞

不過不論是 cookie 或是 session 要如何 跨 domain 傳遞值
才是我想討論的..
這個問題還可以分為兩個問題
( 我不討論 cookie diabled 的狀況 , 就是假設不使用 session rewriting )

1) authentication 身分認證

跨 domain 身分認證的方法通常會利用
當你在 login AAA.com 的時候, 順便幫你去 login BBB.com
該怎麼做呢, 其實一點也不複雜
在 BBB.com 擺了一個 jsp/servlet , 只需要 response cookie 或建立 session
這樣子你的 browser 就可以同時使用 AAA.com 及 BBB.com 的 authenticated page
但是 這會遇到 SessionTimeout 的問題
所以就利用 remote keeping session aliving 的技術, 內嵌一個圖檔 bbb.gif?xxx=asdfasdf
不斷地去 load , 讓彼此的 session 一直存在
當 logout 的同時呢, 也必須對於兩個 session 去作 session=null 的動作

2) data sharing 資料傳遞

如果我在 AAA.com 設定了 Session 具有一個 訂單
我要傳遞給 BBB.com 直接使用
有可能嗎 ? 如果在不同台機器, 我認為答案是 "不可能"
只能透過 http request GET/POST parameters 去達成
或是傳入資料庫.. anyway.. 就不算是 session data sharing

多一個假設, 如果都是在同一台機器呢 ?
BBB.com 如何直接取用 AAA.com 的 Session 呢
如果可以的話 就違反的安全性的原則 ...
好 ~ 假設我就是要破壞安全性.. 該如何去做呢 ??
servlet spec 中提到 session 不能跨 webapp 分享 session object !


小弟這邊提出一些想法, 希望對大家有用
如果要達到 SSO 這樣的目的,
基本上, 就是在某個被信任站的 user login 成功資料
(通常是 user id 或是 global user id ),
可以被其他 site 所取得(cross site/ap).

之前大家比較常用到的 session 技術,
大概都是以 single server/ap 為主, 而不是 cross server/ap.
( ex: servlet 中 default 給的 HttpSession )
而這種 session 的機制通常都是透過給定一個 unique 的 session id,
然後用 memory 或 file 來儲存 stateless request 的資料.
所以在本質上, 是沒有辦法 cross 到 session storage 之外的.
因為 session 的一些特性, 我們不會直接去 access session
的 storage, 而是透過 session 的管理系統去 access session data.

要做到 SSO, 應該就要解決 session 的 cross site 問題.
這邊提到這到的 session 是為了解決 global user id/data
的 distribution 而存在的, 我們暫且稱之為 global session.
相對而言, intra server/ap 的 session 我們稱之為 local session.
Local session 的特點是它僅能在 server/ap instance 中使用,
一到了其他的 server/ap 就因為所屬的 session mgmt system 的
不同而無法做用.

現在我們仔細想一下, 要做到 SSO,
首先, session mgmt system 要同一套, 這樣資料才能共享,
不是 single server, 就是用 distributed server + sync 來解決.
single server 可能會有 performance 的問題.
distributed server 可能會有 sync 的問題.

接下來是每個要 sso 的系統可以去存取共享的 session mgmt system.
這跟 session mgmt system 是用什麼的很有關係, 如果是一台 J2EE
的 AP Server 架構, 就可以選擇 EJB 去存取.

最後是 client 可以將 global session id 帶到其他的 server/ap
讓其他的 server/ap 可以透過共享的 session mgmt system 去取得
session data.

這邊可能有人會問, 如果只是單純的 SSO, 為什麼不直接把 user id
丟到另一個 server/ap 呢, 其實考量點在安全性,
如果另一個 server/ap 相信 client 丟過來的資料是正確的就可以用.
不過我們通常都是不信的, user 厲害一點就可以假造,
所以, 用像 session id 這種無意義或比較難假造的資料應該是比較
令人放心的. 至少使用的人可以再透過 session mgmt system 去驗証.
至於要 cross server/ap 的資料, 還是透過非 client 端的
session mgmt system 取得較令人放心.

有沒有 reference package 咧 ?
不好意思, 我也只是想想而已, 有的話大家分享一下.


reply to postreply to post
話題樹型展開
人氣 標題 作者 字數 發文時間
51246 [精華] 在不同的網站間分享session aladdin 2004 2003-12-05 14:29
47602 Re:在不同的網站間分享session moszap 151 2003-12-05 14:45
47298 Re:在不同的網站間分享session aladdin 1180 2003-12-05 17:10
47050 Re:在不同的網站間分享session jini 1437 2003-12-05 19:20
46836 Re:在不同的網站間分享session aladdin 823 2003-12-05 20:20
46916 Re:在不同的網站間分享session aladdin 337 2003-12-10 18:15
45684 Re:在不同的網站間分享session sdargon 143 2003-12-10 16:41
45743 Re:在不同的網站間分享session aladdin 1585 2003-12-10 16:50
45534 Re:在不同的網站間分享session jog 37 2003-12-10 17:35
45667 Re:在不同的網站間分享session jini 1322 2003-12-11 00:05
45110 Re:在不同的網站間分享session jcwang6188 475 2003-12-12 13:59
44967 Re:在不同的網站間分享session Thinker 749 2003-12-12 16:12
44410 Re:在不同的網站間分享session chency 2580 2003-12-21 02:15
46347 Re:在不同的網站間分享session snpshu 176 2003-12-11 00:31
45240 Re:在不同的網站間分享session jini 302 2003-12-11 00:40
45203 Re:在不同的網站間分享session saijone 791 2003-12-11 05:09
45207 Re:在不同的網站間分享session aladdin 1755 2003-12-11 09:13
44961 Re:在不同的網站間分享session Forth 39 2003-12-11 12:44
45893 Re:在不同的網站間分享session im1000 1201 2003-12-11 19:06
44860 Re:在不同的網站間分享session aladdin 336 2003-12-12 10:14
45093 Re:在不同的網站間分享session snpshu 368 2003-12-11 08:58
44969 Re:在不同的網站間分享session jog 207 2003-12-11 11:09
44836 Re:在不同的網站間分享session aladdin 461 2003-12-12 09:11
45055 Re:在不同的網站間分享session ming215 734 2003-12-11 17:16
45035 Re:在不同的網站間分享session im1000 803 2003-12-11 18:59
44952 Re:在不同的網站間分享session aladdin 2284 2003-12-12 10:07
44821 Re:在不同的網站間分享session Biologic 854 2003-12-12 10:32
44747 Re:在不同的網站間分享session saijone 710 2003-12-12 12:56
44716 Re:在不同的網站間分享session subbug 246 2003-12-12 11:49
44676 Re:在不同的網站間分享session koji 90 2003-12-12 12:18
44587 Re:在不同的網站間分享session subbug 111 2003-12-12 13:13
44692 Re:在不同的網站間分享session popcorny 248 2003-12-15 00:52
44395 Re:在不同的網站間分享session 沒有人 487 2003-12-15 05:00
44305 Re:在不同的網站間分享session Biologic 590 2003-12-15 08:42
46107 Re:在不同的網站間分享session jini 106 2003-12-05 15:22
46316 Re:在不同的網站間分享session aladdin 116 2003-12-05 15:46
43543 Re:在不同的網站間分享session good 537 2004-01-27 11:47
46211 Re:在不同的網站間分享session jini 643 2003-12-05 15:28
46200 Re:在不同的網站間分享session aladdin 214 2003-12-05 15:48
45956 Re:在不同的網站間分享session saijone 1697 2003-12-07 01:03
45820 Re:在不同的網站間分享session jini 724 2003-12-07 01:26
46040 Re:在不同的網站間分享session Forth 80 2003-12-07 01:36
45960 Re:在不同的網站間分享session jini 1683 2003-12-07 12:25
44574 Re:在不同的網站間分享session Thinker 1809 2003-12-12 15:38
44506 Re:在不同的網站間分享session jini 643 2003-12-12 21:12
44506 Re:在不同的網站間分享session Thinker 598 2003-12-13 01:35
44655 Re:在不同的網站間分享session im1000 1338 2003-12-13 02:31
44475 Re:在不同的網站間分享session Thinker 2298 2003-12-13 11:49
44434 Re:在不同的網站間分享session saijone 2006 2003-12-13 23:05
44631 Re:在不同的網站間分享session Thinker 1933 2003-12-14 11:48
46251 Re:在不同的網站間分享session ingramchen 87 2003-12-06 03:33
45949 Re:在不同的網站間分享session jini 1281 2003-12-06 04:03
46622 Re:在不同的網站間分享session ingramchen 1420 2003-12-06 06:52
45901 Re:在不同的網站間分享session jini 582 2003-12-06 13:31
45921 Re:在不同的網站間分享session aladdin 1652 2003-12-06 13:51
45814 Re:在不同的網站間分享session Forth 137 2003-12-06 14:19
45934 Re:在不同的網站間分享session aladdin 1399 2003-12-06 14:50
45866 Re:在不同的網站間分享session jini 868 2003-12-06 14:41
45988 Re:在不同的網站間分享session ingramchen 768 2003-12-06 16:30
45871 Re:在不同的網站間分享session aladdin 187 2003-12-06 15:24
45800 Re:在不同的網站間分享session jini 297 2003-12-06 16:39
45875 Re:在不同的網站間分享session aladdin 871 2003-12-06 16:51
45842 Re:在不同的網站間分享session jini 1162 2003-12-06 19:43
45755 Re:在不同的網站間分享session Forth 125 2003-12-06 21:11
46013 Re:在不同的網站間分享session aladdin 3936 2003-12-08 11:16
45680 Re:在不同的網站間分享session Biologic 433 2003-12-08 12:28
45291 Re:在不同的網站間分享session Millerlai 0 2003-12-10 15:48
45191 Re:在不同的網站間分享session aladdin 610 2003-12-10 15:59
45101 Re:在不同的網站間分享session Millerlai 290 2003-12-10 16:12
45103 Re:在不同的網站間分享session Millerlai 273 2003-12-10 16:26
45926 Re:在不同的網站間分享session aladdin 3123 2003-12-08 15:25
45677 Re:在不同的網站間分享session ymshin 1194 2003-12-08 16:18
45788 Re:在不同的網站間分享session aladdin 2245 2003-12-08 17:42
45605 Re:在不同的網站間分享session ymshin 1375 2003-12-08 18:05
45167 Re:在不同的網站間分享session sdargon 0 2003-12-10 10:56
45308 Re:在不同的網站間分享session ymshin 1176 2003-12-10 11:17
45367 Re:在不同的網站間分享session aladdin 1268 2003-12-10 12:00
45166 Re:在不同的網站間分享session ymshin 283 2003-12-10 12:16
45289 Re:在不同的網站間分享session aladdin 1591 2003-12-10 13:39
45151 Re:在不同的網站間分享session ymshin 1403 2003-12-10 14:35
45387 Re:在不同的網站間分享session aladdin 5567 2003-12-10 15:21
45079 Re:在不同的網站間分享session Biologic 136 2003-12-10 15:31
45151 Re:在不同的網站間分享session aladdin 124 2003-12-10 15:44
44922 Re:在不同的網站間分享session Biologic 167 2003-12-10 20:15
45119 Re:在不同的網站間分享session ymshin 1076 2003-12-10 16:15
45117 Re:在不同的網站間分享session aladdin 1290 2003-12-10 16:45
45124 Re:在不同的網站間分享session ymshin 2038 2003-12-10 17:39
45034 Re:在不同的網站間分享session aladdin 545 2003-12-10 18:03
44949 Re:在不同的網站間分享session ymshin 218 2003-12-10 19:43
45219 Re:在不同的網站間分享session Biologic 1128 2003-12-10 12:52
45201 Re:在不同的網站間分享session aladdin 132 2003-12-10 12:56
45217 Re:在不同的網站間分享session anthonychen 232 2003-12-10 11:17
44975 Re:在不同的網站間分享session anthonychen 421 2003-12-10 19:58
45522 Re:在不同的網站間分享session jog 342 2003-12-09 01:57
45454 Re:在不同的網站間分享session Biologic 460 2003-12-09 10:28
45597 Re:在不同的網站間分享session aladdin 2955 2003-12-09 10:31
45595 Re:在不同的網站間分享session im1000 567 2003-12-10 04:26
45744 Re:在不同的網站間分享session aladdin 516 2003-12-10 11:11
» JWorld@TW »  Servlet/JSP 討論區

reply to postflat modego to previous topicgo to next topic
  已讀文章
  新的文章
  被刪除的文章
Jump to the top of page

JWorld@TW 本站商標資訊

Powered by Powerful JuteForum® Version Jute 1.5.8