Я разрабатываю довольно «большое приложение» с PHP & kohana framework прошло 2 года, несколько успешно используя механизм аутентификации моей инфраструктуры. но за это время, и по мере того, как приложение выросло, многие проблемы, связанные с сохранением состояния, возникли.cookieless сеансы с ajax
основные проблемы, которые печений управляемые сессии:
- не может использоваться для доступа к веб-службы (по крайней мере, это действительно не приятно делать так ..)
- во многих случаях проблематичными Мобильный доступ
- не разрешает одновременное использование нескольких одновременных приложений в одном браузере (может быть разрешено жестким обманом, но все же ..)
- требует много конфигураций и беспорядок для работы на 100% вправо, и это без проблем -browser (отключенные файлы cookie, старые ошибки браузера & уязвимости и т.д.)
многие другие сессионные недостатки, указанные в этой старой теме: http://lists.nyphp.org/pipermail/talk/2006-December/020358.html
После очень длительных исследований, и без хорошей библиотеки/на руки-решения ноги мои потребности, я пришел с индивидуальным решением большинства этих проблем.
Решение, о котором я думал, не использует файлы cookie (для statefullness). вместо этого имитируя его, передав обратно &, проведите сеанс-токен через запросы ajax. Для обеспечения безопасности токен сеанса регенерируется по каждому запросу. Кроме того, отпечаток пальца (referrer, OS, clientVer) сохраняется при создании сеанса и проверяется при каждом запросе.
С первого взгляда, который должен быть не менее безопасным, чем эквивалентная реализация, основанная на файлах cookie, и в то же время он прост, поддерживается и устраняет все недостатки cookie. Но я действительно обеспокоен тем, я часто слышу правило «не пытайтесь внедрять пользовательские решения безопасности».
Я по-настоящему признателен за любые серьезные отзывы об этом методе и любые альтернативы.
также, любой совет о том, как сохранить состояние на странице обновления без cookies, было бы здорово :), но это небольшая техническая проблема.
Извините, если я пропустил какой-то подобный пост .. там есть миллиарды о сеансах.
Большое спасибо заранее (и для чтения, пока здесь!).
В чем ваш вопрос? Или вы просто ищете обратную связь для своего алгоритма? Хороший вопрос, кстати, если немного длинный. –
действительно длинный, извините :(. Im ищет решение (желательно чистое и простое) для недостатков cookie-сессии. вы можете увидеть мой метод в качестве предлагаемого решения, но с очень ограниченной гарантией. – user258626