日度归档:2010年7月21日

RESTful,在不用session的情况下做用户认证

最近在研究restful,在restful协议中,强调不使用session,但可以少量使用cookie。以保持restful的无状态性。

但是在实际使用中,有一个最大的问题,就是当应用需要用户登陆认证时,应该怎么处理。

在这里我的处理方法主要是把用户登陆后,把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token,写入cookie,然后在需要认证的应用时,由php等程序读取cookie中的token,并把用户名、密码、ip地址及最后更新时间解密出来。

先判断时间是否过期,过期的话,清除cookie,要求重新登陆!

再判断cookie中的ip是否与当前客户端ip一致,如果不等,要求重新登陆。

时间和ip都通过的话,则把用户名、密码做判断,判断是否正确,正确的话,把用户基本信息存在一全局变量中!

做后续应用,同时把生成新的token(主要是时间)写入cookie。

这样的话就解决了三个问题

第一、时效,cookie有一个生存时间、同时在token中也存储时间,方便让令牌失效;

第二、解决了cookie欺骗问题,因为token记录了客户端的ip地址;

第三、解决了安全问题,采用可逆加密,就算得到token在没有解密key的情况下也无法破解得用户名及密码。

 

还有一个情况,同时把token保存到服务器,这样更容易控制!但是把东西记录到服务器的话,其实它不就是session了么,伪session而以,所以还是不建议这么用!

昨天把博客升级成了sablog 2.0

08年使用小a的sablog 1.6博客程序就一直没有改变过,现在都2010年了,应该有些变化了,所以就把博客升级到了2.0,以后,第一个感觉就是后台更清爽了。

升级到2.0后,因为url有所变化,0为了不影响百度里的文章收录,用.htaccess做了301转向。


新博客新气象,嘿嘿,以后要我写些东西发上去了,同时也诚招同类博客的友情链接!