ColdFusion 会话管理/多域用户认证

【问题标题】:ColdFusion Session Management / User Authentication with Multiple DomainsColdFusion 会话管理/多域用户认证
【发布时间】:2015-05-24 03:34:52
【问题描述】:

我有一个问题,我需要对来自位于单独服务器、数据库并使用 JSP 构建的域的用户执行身份验证检查。

以下是该过程的简要概述:

domain1.com(用户访问此页面以登录该站点以获取他们需要的内容。使用 J2EE 会话 ID)

domain2.com(用户可以检索使用 ColdFusion 10 构建的数据的内容区域。特定于每个帐户的数据被传递到 URL

例如,

domain2.com/content/content.cfm?customerID=12345

domain2.com/content/content.cfm?customerID=12345&pageid=AB12&type=CID1

问题是任何人都可以访问 domain2 而无需通过 domain1.com 登录,只需输入 URL。对最初从托管在与我的 ColdFusion 环境完全不同的平台上的域进行身份验证的会话进行身份验证的最佳安全做法是什么?

【问题讨论】:

    标签: session authentication coldfusion coldfusion-10


    【解决方案1】:

    最佳实践:您必须使用可共享的资源在多个环境之间正确进行身份验证,例如它们可以访问的数据库或 Web 服务。这是唯一安全的方式。

    Security by Obscurity:加密 domain1.com 上的登录信息(例如客户身份)并将加密的令牌传递给 domain2.com(重定向时)。确保在加密令牌中使用带有随机内容的填充和过期时间戳,以防止重复使用令牌。 domain2.com 可以轻松解密令牌并从那里处理登录。在这种情况下,可共享资源是用于加密/解密令牌的密钥。 AES 是一个好的开始。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-02-24
      • 1970-01-01
      • 2022-01-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-11-22
      • 2019-05-25
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode