Play! 中的无状态运行模式!据说框架不如有状态模式安全。 它总体上对 Play 框架有何影响?是否有可能改善关键公共(public) Web 应用程序的安全缺陷?
最佳答案
首先,你说stateless安全性低?您是否有任何具体理由相信情况如此?
无状态模型的想法是,您不会在服务器端的 session 中不必要地存储数据,这导致您必须在 session 期间继续在同一台服务器上进行“ session 聊天”。
如果您想模仿 J2EE session ,那么您可以简单地使用 session.id
并将所有状态存储在数据库中,并在 session 结束时删除。
session cookie本身是有签名的,所以不能被篡改,所以不用担心有人会劫持session id,但是如果你特别担心,那么你可以简单的在session cookie中存储你自己的identifier,并使用 Crypto
实用程序类对其进行加密,该实用程序类使用应用程序的 key 来加密/解密数据。
无状态只是一种思维方式的改变,只要您不在 session 中存储不必要的数据(这可能是您的出发点),那么您应该没什么可担心的。
关于security - 无状态模式如何影响 Play! 中的安全性?框架?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7373354/