如何避免在 Java Web 应用程序中使用服务器端会话进行身份验证？

Question

我希望确保对 Web 应用程序中的资源的访问安全，因此我使用标准机制对用户进行身份验证，并使用服务器端会话来保留经过身份验证的状态。

我想在负载平衡配置中跨多个系统进行部署，但我不想开始跨基础设施同步会话状态。是否有方法（使用 Java EE 中的规范驱动设施或常用的库（如 Spring Security））在没有服务器端会话的情况下保留用户的身份验证状态，例如将所需的状态推送回客户端？如果是这样，我还需要注意其他风险吗？

---

更新 - 我正在根据 Java EE web 应用程序规范使用声明式安全性，并通过 LDAP 存储库进行身份验证。

Answer 1

我不知道框架解决方案，但以下方法确实有效：

用户成功登录后，您创建一个安全令牌并将其值设置为 cookie。令牌包含所需的所有信息（用户 ID、创建时间等），并使用某种算法进行加密。因此，集群中的所有节点都可以读取令牌、解密令牌并识别用户。然后，您创建一个 ServletFilter 拦截所有请求，检查令牌并使用 HttpServletRequestWrapper 设置相应的用户凭据，例如 ServletRequest.getRemoteUser()。

解决问题的一种方法。但你一定要小心，自制的安全一定要经过深思熟虑。

Answer 2

您可以在身份验证后将某种令牌存储在 cookie 中，并自行管理会话属性。例如，有一个数据库表，其主键是身份验证令牌并存储用户会话数据...不要忘记实施一项作业来清理不活动的“会话”。

至于你应该注意什么，请记住，cookie 很容易访问、窃取、删除、禁用等。身份验证令牌应该是强大且可验证的东西（哈希用户 ip + 浏览器 + 旋转盐的组合） +您可以检查的一些其他内容）。

将用户身份验证分为两个级别也是明智的。 “有 cookie”和“刚刚验证了 cookie”...假设“有 cookie”是一种可以持续半小时（或更长时间）的状态，允许用户浏览网站。 “刚刚验证”状态适用于重要操作，并且应要求用户再次输入其凭据。这种“刚刚验证状态”的超时不应超过几分钟。

请记住，我假设您的网站并未保存真正敏感的数据。对于这些情况，我会推荐诸如使用外部令牌或安全卡的双向 SSL 身份验证加上旋转令牌设备加上生物识别身份验证之类的东西：D：D：D ...我想您明白我的观点。

干杯，

Answer 3

您可以使用开放 ID 服务器进行身份验证，从而将身份验证和应用程序逻辑分开。