还是关于目录服务单点登陆

easyinfonet 03-07-23


是否需要加入时间标记到cookie 中呢

如果cookie需要加入时间标记

但是这个系统中session的过期是30 分

而另一个session过期是60 分

这样如何来实现呢

在比如:
如果系统中还有cs的那末怎么办呢

easyinfonet
2003-07-23 14:30

没有人在吗

easyinfonet
2003-07-23 14:53

为什么这么多的系统中都使用cookie?

cookie有什么优势吗?

iceant
2003-07-24 01:07

理想的,当然是 Kerberos.
我拿 Windows 2K Server AD Service 来说:

Kerberos 有一个 Ticket Service(就是 AD), 当用户登录系统时(也就是登录进入 Windows 2K Domain时), TS 会向用户发一张 Ticket(这中间有一些复杂的握手过程,你可以自己找 Kerberos 的资料来了解),然后,如果User要访问一个 Domain 内的应用时,假设是一个 WEB 应用。 WEB 服务器向 User 使用的浏览器(假设是 IE)发一个握手请求,表明需要 Kerberos ticket 才能进入,User IE 就调用 Windows 内核模块,将 ticket 传递到远端服务器上,你不用担心保密问题,因为 Kerberos 在这方面做得非常优秀(永不在网络上传密码).Ticket送到 WEB Server 后,WEB Server 会用它从 Kerveros Server 获得的一个Session钥匙来打开这个 Ticket 包,然后验证,如果打得开,那就是合法用户,然后就可以进入系统,否则就不让进入。

Kerberos 的实际验证过程非常复杂,你可以自己去找些资料来看。它也可能是最好的 OSS 实现方案。所以 Windows 2K 开始全面支持 Kerberos 5.
=======================================================
现在的 LDAP Server 一般都支持 Kerberos.
=======================================================
一般WEB实现 OSS 的做法我想信你也听说过,就是使用 Global Session.
一般也是自己实现的。你谈到的 Session 过期只是分系统的 Session 过期,而实际只要 Global Session 不过期,系统就应该认为该用户没有过期。