3
問題:下載鏈接應顯示在用戶的主頁中。 該下載鏈接應該只能在用戶登錄時訪問。如何驗證跨服務器的用戶會話?
但真正的問題是用戶的主頁和下載鏈接位於不同的Web服務器上。
有沒有一種方法我可以發送下載鏈接令牌並驗證它呢?
A
回答
0
如果用戶點擊鏈接,他將從他的服務器到您的服務器。
而且,如果他記錄在您的服務器上,那麼你可以做任何檢查你需要,因爲他正試圖訪問服務器上的文件。即使鏈接顯示在其他某個服務器上。
這就是說,如果您使用會話來保持用戶登錄,那麼在下載代碼中應該足夠用session_start()開始會話,並且用戶應該已經登錄了會話。
1
users server = serverA.com
your server = serverB.org
如果我的理解對不對,問題是,用戶只登錄服務器A,但不能在服務器B,而且也沒有辦法共享會話狀態(例如會話處理轉移數據庫)?
從我的頭頂,我能想到的一個選項:
服務器B只是要求服務器A
手段:在serverA鏈接包含用戶會話ID *。然後服務器B詢問服務器A會話是否有效。
如果沒有這兩臺服務器之間的通信,就無法做到這一點。
*注:不是會話ID倒不如使用隨機令牌。會議ID不應該是私人的。
不會停止你的用戶分享的網址,因此,如果他們想讓別人來下載文件,他們可以簡單地繞過URL。另一方面,惡意用戶也可以通過他的session-id做到這一點。
1
你可以讓下載鏈接提交一個帶有用戶信息的表單到目標服務器。這樣做會帶來安全隱患,因爲登錄信息將作爲隱藏表單字段的值出現在頁面的源代碼中,因此可能不是您想要的方式。
第二個選擇是將存儲在數據庫中的會話信息,然後簡單地傳遞會話密鑰到新的服務器。這需要第二臺服務器能夠聯繫第一臺服務器的數據庫並對其運行查詢。設置具有從該服務器登錄以進行讀取訪問的權限的用戶名應足以完成此操作,而不會打開許多安全漏洞。
最後,你可以設置第一臺服務器上的Web服務得到一個用戶名時,將返回一個是/否的答案,驗證登錄用戶的身份。然後,第二臺服務器上的接收鏈接將獲取用戶名並在構建響應之前驗證登錄狀態。
相關問題
- 1. 跨服務器的IIS身份驗證
- 2. 用戶會話驗證5
- 3. ASP.NET會話ID - 跨服務器唯一
- 4. Rails,Node.js跨服務器身份驗證
- 5. 我如何可以驗證驗證用戶除了會話控制器
- 6. PHP在線服務器中的會話驗證問題
- 7. 與身份驗證服務器通話
- 8. 如何繞過ASP.NET客戶端驗證來驗證服務器端驗證
- 9. 如何驗證跨域的PHP會話ID的Socket.IO
- 10. 如何管理多個服務器上的用戶會話?
- 11. 如何確定服務器上的用戶會話
- 12. 如何驗證TortoiseHg Web服務器上的用戶?
- 13. 如何驗證服務器端的CaptchaMVC?
- 14. 如何應用客戶端和服務器端驗證
- 15. SAML重新驗證用戶會話
- 16. 如何驗證服務器端Web服務的瀏覽器IP
- 17. 如何在MobileFirst 8中實現服務器會話驗證方案?
- 18. 在服務器上驗證YouTube帳戶
- 19. 驗證客戶端與服務器
- 20. 客戶端和服務器驗證
- 21. 服務器端/客戶端驗證.net
- 22. 客戶端和服務器端驗證的驗證摘要
- 23. 如何驗證每個頁面上的用戶會話
- 24. 驗證會話
- 25. 如何使用Rails驗證Flex會話?
- 26. 如何驗證客戶端以及服務器端的recaptcha
- 27. 如何通過Web服務器驗證他的Gmail帳戶?
- 28. 如何從服務器驗證客戶端的身份?
- 29. C#.NET MVC服務棧如何從身份驗證過濾器訪問自定義用戶會話
- 30. 如何向ADFS生成請求,在Django服務器上獲取會話和驗證用戶?
顯示你的嘗試,在這裏複製相關的代碼。 – 2009-06-23 11:34:34
可能的重複:http:// stackoverflow。com/questions/580671/configure-session-to-work-on-application-that-deployed-multiple-server – Gumbo 2009-06-23 11:42:13