Bob使用Web应用程序来实现某些function。 和: 他的浏览器正在节食,因此它不支持cookies 。 Web应用程序是一个非常stream行的应用程序,它在特定时刻处理很多用户 – 它必须很好地扩展 。 只要保持会话会对同时连接的数量施加限制 ,当然会带来不可忽视的性能损失 ,所以我们可能希望有一个无会话的系统:) 一些重要的说明: 我们确实有运输安全 ( HTTPS及其最好的朋友); 在幕后,Web应用程序将代表当前用户的许多操作委托给外部服务 (这些系统将Bob识别为其用户之一) – 这意味着我们必须将Bob的凭据转发给他们 。 现在,我们如何validation鲍勃(每个请求)? 这将是一个合理的方式来实现这样的事情? 通过HTMLforms的隐藏字段与证书打网球 … 球包含的凭据( 用户名和密码 )和两个球拍分别是浏览器和Web应用程序。 换句话说,我们可以通过表单域而不是通过cookie来回传输数据。 在每个Web请求中,浏览器都会发布凭证。 尽pipe在单页应用的情况下,这可能看起来像在墙壁上打壁球 ,而不是打网球 ,因为包含凭证的网页表单可能在网页的整个生命周期(以及服务器将被configuration为不提供凭证)。 存储在页面的上下文中的用户名和密码 – JavaScriptvariables等单页需要在这里,恕我直言。 encryption的基于令牌的authentication。 在这种情况下,login操作将导致生成一个encryption的安全令牌(用户名+密码+其他)。 这个令牌将被返回给客户端,并且即将到来的请求将伴随令牌。 这有道理吗? 我们已经有HTTPS … 其他… 最后的手段:不要这样做,在会话中存储凭据! 会议是好的。 有或没有cookies。 关于前面提到的任何想法,是否会出现任何networking/安全问题? 例如, 超时 – 我们可能会保留一个时间戳 ,以及证书(时间戳=鲍勃input证书的时间)。 例如,当NOW – 时间戳>阈值时 ,我们可能会拒绝该请求。 […]