Phát! khung: sử dụng phiên để xác thực

Question

vì vậy tôi đang sử dụng Play! khuôn khổ cho một dự án trang web.
Tôi đang sử dụng phiên để xác định xem người dùng đã đăng nhập:

sau đó, tôi có thể xác định ai là người sử dụng khi tôi muốn một cách dễ dàng.

Tôi có hai câu hỏi:

1. đây có phải là thực hành tốt nhất?
2. có lỗ hổng nào trong hệ thống đăng nhập đơn giản và cách xóa chúng không?

Answer 1

Đơn giản và an toàn, vì cookie của phạm vi phiên được ký bằng khóa bí mật. Nếu không cần lưu trữ số lượng lớn dữ liệu cho mỗi phiên, nó sẽ là OK.

Hãy xem các giải pháp hiện có (ví dụ: mẫu zentask).

Sửa:

Mặt khác bạn có thể xem xét sử dụng Chơi Authenticate, tôi đã thêm phiên xử lý để lấy mẫu in my fork (branch 2.0.4_session) trong samples/java/play-authenticate-usage, nó chỉ là 3 cam kết, vì vậy nó khá dễ dàng để kết hợp nó vào hiện play-authenticate-usage triển khai.