基于Cookie的SSO实现.pptVIP

基于Cookie的SSO实现 2008.07 目录 HTTP协议特性 有状态Web服务的实现方式 Cookie概念 Cookie属性 Session 使用Cookie实现SSO的优缺点 使用Cookie实现Web SSO HTTP协议特性 HTTP协议是一种无状态的协议。 假如一个用户访问两个页面：用户在浏览器的地址栏输入页面的URL或者点击链接，浏览器就会向Web Server去发送请求。这两个页面的请求是分别使用了两个单独的HTTP连接。浏览器和Web服务器会在第一个请求完成以后关闭连接通道，在第二个请求的时候重新建立连接。Web服务器并不区分哪个请求来自哪个客户端，对所有的请求都一视同仁，都是单独的连接。 有状态Web服务的实现方式 通过Cookie 通过Session Cookie概念 Cookie属性 Comment：注释。 Domain：Cookie适用的域名。注意域名必须以点开始。这个是Web SSO实现的关键。 MaxAge：Cookie过期之前的最大时间，以秒计算。如果设置此项Cookie保存在硬盘中。时间以客户端的时间为准。 Name：Cookie的名字。 Path：Cookie适用的路径。如果不指定路径，Cookie作用范围为当前页面所在目录及其子目录下的所有页面。 Value：Cookie的值。 Version：Cookie所遵从的协议版本。 Session Session：是指一类用来在客户端与服务器之间保持状态的解决方案。有时候session也用来指这种解决方案的存储结构。 实现有状态Web服务的方式：session机制采用的是在服务器端保持状态。由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制通过cookie或者传递参数（URL重写）的方式来达到保存标识的目的。 使用Cookie实现SSO的优缺点 优点：实现简单，容易扩展，支持分布式部署，支持跨平台。 缺点：安全性不高，不支持跨域访问。 使用Cookie实现Web SSO 实例加源码演示 * Cookie实际上是一段纯文本信息，存储在客户端内存或者硬盘中。浏览器和服务器的每次交互中都会传递相应的Cookie（如果浏览器没有禁止Cookie）。浏览器一般只允许存放300个Cookie，每个站点最多存放20个，而且，每个Cookie的大小限制在4K以内。 *