【发布时间】:2011-06-05 22:12:30
【问题描述】:
假设我有一个按预期工作的长轮询服务器 - 当新客户端连接到网站时(他只是以匿名身份连接而无需身份验证),会发出新的 GUID 并将其存储在标识此连接的签名 cookie 中在客户端和服务器之间的轮询期间。
现在客户端想要以经过身份验证的用户身份登录并继续。问题是长轮询服务器 (node.js) 和 Web 框架 (ASP.NET) 是作为独立系统工作的。我可以使用 ASP.NET (MVC) 特定的身份验证机制从 Web 框架的角度登录,但这不会影响长轮询服务器(我仍然被称为一些 GUID 人)。从长轮询服务器的角度来看,我应该如何安全地 对用户进行身份验证?这种情况是否有任何“最佳实践”?经过身份验证的客户端应在身份验证过程之后通过其唯一密钥(假设是邮件地址而不是 GUID)进一步识别。
【问题讨论】:
标签: javascript asp.net security node.js long-polling