用户身份验证:cookie or session?

wartskcaj 发布于 2011/07/15 10:09
阅读 2K+
收藏 3

以前用户登陆后身份验证只用session,

后来用session+cookie,

昨天发现oschina.net的用户身份验证没用session,我用firebug只看到一个长长的加密的oscid,没有sessionid,是用了什么技术隐藏了sessionid还是就没用session,如果只用cookie验证用户身份,具体验证身份的思路是什么,安全性上是否有保证?

 

加载中
0
红薯
红薯

你不用 session 的时候就不会有 jsessionid 的东西啊,jsp页面也可以指定关闭 session的

session 最大的问题就是集群比较麻烦

0
笨蛋EGG
笨蛋EGG
我现在也是用cookie来持久用户登录,以前一直用session,现在发现这玩意还真不是很稳定,老丢,cookie+服务器再整一个第三方缓存,这样相对的就稳定很多,目前在ASP.NET缓存和memcached_win32中做个选项,等真正上线后就可以测试多用户下的稳定性,目前开发测试时用ASP.NET缓存,出现过掉线的情况(缓存的用户信息丢了),不知道多人下会不会更严重些……
0
wartskcaj
wartskcaj

引用来自“红薯”的答案

你不用 session 的时候就不会有 jsessionid 的东西啊,jsp页面也可以指定关闭 session的

session 最大的问题就是集群比较麻烦

那oschina.net是把id,md5(id,ip,salt)存放到cookie里边的吗?

唉!总感觉有点儿不安全,要是被人破了就杯具了······

 

 

 

 

letjs_in
letjs_in
六位的密码md5加密以后破解也不是那么简单的
0
火眼金睛容嬷嬷
火眼金睛容嬷嬷
小用户量session,大用户量就cooki,我觉得没什么难选的吧。
e
evadezzx
小是多小?大是多大?
0
k
z
zx32342342
@红薯 这个是bug么, 这么长的空评论
返回顶部
顶部