首頁(yè) 猿問(wèn) 需要注銷時(shí)可以使用基本身份驗(yàn)證的替...

需要注銷時(shí)可以使用基本身份驗(yàn)證的替代方法嗎？

Java

湖上湖 2021-05-07 14:08:27

如果未構(gòu)建BASIC身份驗(yàn)證來(lái)處理注銷，那么存在哪些備用身份驗(yàn)證方法來(lái)對(duì)需要能夠注銷的后端服務(wù)進(jìn)行身份驗(yàn)證？我們正在使用BASIC身份驗(yàn)證來(lái)登錄后端應(yīng)用程序，并使用FORM身份驗(yàn)證來(lái)進(jìn)行前端應(yīng)用程序。我們的團(tuán)隊(duì)在FireFox / IE上測(cè)試了堆棧之后，發(fā)現(xiàn)如果用戶通過(guò)這些瀏覽器上的BASIC身份驗(yàn)證登錄到后端服務(wù)，則他們將無(wú)法注銷。我的團(tuán)隊(duì)無(wú)法接受這些駭客和解決方法（要求用戶輸入不正確的憑據(jù)，關(guān)閉用戶的瀏覽器，使用javascript發(fā)送不正確的憑據(jù)，要求用戶清除瀏覽器緩存等），因此我們正在尋求有關(guān)替代身份驗(yàn)證方法的建議允許登出

查看完整描述

2 回答

蠱毒傳說(shuō)

TA貢獻(xiàn)1895條經(jīng)驗(yàn) 獲得超3個(gè)贊

基于表單的身份驗(yàn)證

如果可以將會(huì)話狀態(tài)保留在服務(wù)器上，則可以進(jìn)行基于表單的身份驗(yàn)證。

以表單的形式發(fā)送憑據(jù)，如果憑據(jù)有效，則服務(wù)器將發(fā)出cookie，該cookie將被來(lái)回發(fā)送以標(biāo)識(shí)服務(wù)器上的會(huì)話。要注銷，會(huì)話可以無(wú)效：

session.invalidate();

您還可以將應(yīng)用程序配置為由于超時(shí)而使會(huì)話過(guò)期：

<session-config>
    <session-timeout>60</session-timeout> <!-- minutes -->
    </session-config>

基于令牌的身份驗(yàn)證

如果您需要無(wú)狀態(tài)機(jī)制，請(qǐng)進(jìn)行基于令牌的身份驗(yàn)證。

客戶端將硬憑證（例如用戶名和密碼）交換為一條稱為令牌的數(shù)據(jù)。對(duì)于每個(gè)請(qǐng)求，客戶端將發(fā)送令牌到服務(wù)器以執(zhí)行身份驗(yàn)證，然后授權(quán)，而不是發(fā)送硬憑證。

對(duì)于令牌，可以使用JSON Web令牌（JWT）。這是一個(gè)開(kāi)放標(biāo)準(zhǔn)，它定義了一種緊湊且自成體系的方式，用于在各方之間作為JSON對(duì)象安全地傳輸信息。

JWT是以下標(biāo)記類型的通用名稱：

JSON Web簽名（JWS）：對(duì)有效負(fù)載進(jìn)行編碼和簽名，以便可以驗(yàn)證聲明的完整性。
JSON Web加密（JWE）：它們的有效負(fù)載已加密，因此對(duì)其他方隱藏了聲明。

令牌可以在exp索賠中定義到期日期。要注銷，您可以從客戶端中刪除令牌。

您還可以在服務(wù)器端的白名單中跟蹤令牌，并根據(jù)需要使令牌無(wú)效。但是，無(wú)需將整個(gè)令牌存儲(chǔ)在服務(wù)器端：僅將令牌標(biāo)識(shí)符存儲(chǔ)在白名單中，并使用jti聲明將令牌標(biāo)識(shí)符存儲(chǔ)在令牌中。

反對(duì) 回復(fù) 2021-05-26

萬(wàn)千封印

TA貢獻(xiàn)1891條經(jīng)驗(yàn) 獲得超3個(gè)贊

我建議您看看Apache Shiro，尤其是會(huì)話的管理方式（https://shiro.apache.org/session-management.html）。他們已經(jīng)抽象化了會(huì)話的概念，以便它可以在各種情況下工作：在Web應(yīng)用程序中（在這種情況下，它只是HTTP會(huì)話的包裝），在獨(dú)立應(yīng)用程序中，等等。前端可以打開(kāi)和關(guān)閉與后端層共享的Shiro會(huì)話（從中注銷）。

看到這句話：

異構(gòu)客戶端訪問(wèn)

(...)
For example, a (desktop) application could ‘see’ and ‘share’ the same physical session. We are unaware of any framework other than Shiro that can support this

反對(duì) 回復(fù) 2021-05-26