高分求解，类似163的通行证方案

如题，类似163的通行证方案  
   
  说明：  
  各子模块域名：   模块名.mysite.cn  
  各子模块用不同语言开发，且不在同一台服务器上  
   
  要求：  
  一次登录，全站通用  
  若用户长时间未动作，超时自动退出  
   
  ====  
  俺参考过一些开源项目，比如，JOSSO，Yale   CAS，感觉都不太爽  
  俺倒是想到了一点，用Cookie  
  如果，对于Cookie的安全性又有点担忧  
  而且，用纯Cookie，则超时也好做  
  如果用Cookie+Session，感觉也不爽，  
   
  邀请大家一块讨论...........  
  加QQ：147111542 问题点数：100、回复次数：20Top

1 楼tomuno（特别行动组）回复于 2006-03-09 11:54:08 得分 30

联名帐户Top

2 楼laoer（laoer.com）回复于 2006-03-09 11:59:29 得分 50

就是用Cookie，只是对Cookie加密。  
  我的网站就是这样实现的，网易通行证也是这样。Top

3 楼laoxing521（想做程序员的农民）回复于 2006-03-09 12:08:23 得分 0

请教楼上  
   
  你看看163，在你登录在上面的时候，你选IE的工具栏，把Cookie清空，  
  再在163上面跑一跑，结果是：仍然在线，清空Cookie讲没有让你注销  
  也就是说，163用的并不是纯Cookie，   这点不重要  
   
  Cookie我可以设它的过期时间，  
  到了这个过期时间的时候，不管用户仍然在是活动状态也好，不是活动状态也好，它都会失效  
  这样肯定不合适  
  所以把Cookie保存在浏览器进程，则浏览器不关，它一直存在  
  若用户己经是长时间未动用了，那怎样检测它超时？  
   
  =========  
  请教   tomuno(特别行动组)    
  联明帐户是咋回事？  
  能不能详谈一点Top

4 楼tomuno（特别行动组）回复于 2006-03-09 12:15:18 得分 0

我只是听以前网易的员工告诉我的，网易在2000年时就实现了联名帐户  
  具体怎么实现的，我还不清楚  
  相关技术有sso和samlTop

5 楼laoer（laoer.com）回复于 2006-03-09 12:52:18 得分 0

我以前就在网易工作的，网站部分使用的通行证系统没有你想象的那么复杂，用户登录网易通行证，就会在用户Cookie里写入用户名、手机号等一些信息，子应用都会使用提供的包来验证用户是否是登录状态并取出这些信息，这种检测在用户的每一个操作时都会进行的（因为使用Cookie，所以不会消耗很多的性能），如果Cookie超时或用户退出通行证，则Cookie清空，子应用当然就检测到用户已经退出，要么退出应用，要么提示用户重新登录通行证。Top

6 楼VisaulAll（欧阳）回复于 2006-03-09 12:54:23 得分 1

如果你不想用session，用cookie也是比较好的方案，不过要注意几点  
  第一：你的cookie要加密，即用户不能通过模拟cookie就可以模拟每个用户的在线  
  第二：要做一个模拟session的东西，，就是要建立一个客户端和用户端的东西，来管理用户cookie超时后的动作！Top

7 楼laoxing521（想做程序员的农民）回复于 2006-03-09 13:50:44 得分 0

请教   laoer:  
   
  =================  
  Cookie我可以设它的过期时间，  
  到了这个过期时间的时候，不管用户仍然在是活动状态也好，不是活动状态也好，它都会失效  
  这样肯定不合适  
  所以把Cookie保存在浏览器进程，则浏览器不关，它一直存在  
  若用户己经是长时间未动用了，那怎样检测它超时？  
  =================  
  Top

8 楼laoer（laoer.com）回复于 2006-03-09 14:20:24 得分 0

对于Cookie的清除，要么，用户主动清除，比如点击退出，或关闭浏览器，要么超过Cookie写入时指定的时长，还有一种就是Cookie设定为用户关闭浏览器时清除，之后用户长时间不活动，这种情况下Cookie也可能会被清除。  
  对于通行证系统，只要应用检测不到用户端的Cookie，就认为用户已经退出通行证。  
  我不知道你要达到什么样的效果，一般来说登录通行证是会写一个时长的，这样开新的浏览器也会认为用户是登录状态的，当然要提醒用户为了保证安全，请在使用结束后退出通行证，一旦通行证签退，所有的应用都检测不到Cookie，当然也都退出了。Top

9 楼Polarislee（北极星)(无房无车，飘在北京）回复于 2006-03-09 14:35:43 得分 15

一个比较常见的实现Sign   on   one的手段是这样的：  
   
  为所有支持的站点建立一个专门的证书服务器，为每个用户分配一个证书，站点根据证书来判断用户身份。  
  需要身份验证时，根据用户的登陆数据在证书服务器获取相应的证书，并保存在用户的cookie中。  
  这样在证书服务器保存用户数据，各站点需要时可以使用证书获取  
  Top

10 楼lengbb（笨笨）回复于 2006-03-09 14:46:01 得分 1

顶Top

11 楼laoxing521（想做程序员的农民）回复于 2006-03-09 15:12:14 得分 0

to   Polarislee,    
  yale   CAS好像就是这个思想，不过，不是用cookie的  
   
  我现在遇到的问题其实很简单  
  可能是我说得太复杂  
   
  我要的效果就是  
  用cookie实现类似session的效果：  
  只要用户在活动，cookie就有效  
  关闭浏览器，或者用户在一段时间内(比如20分钟)未动作，cookie失效  
   
  -------  
  如果给cookie设了过期时间，那到了时间的时候，即使用户仍在活动，cookie还是会失效，这不是我想要的  
   
   
  Top

12 楼laoer（laoer.com）回复于 2006-03-09 15:15:50 得分 0

很简单，在Cookie里加上最后活动时间，每次用户有动作时判断一下，如果最后活动时间和当前时间相差超过你规定的时间就认为用户超时，如果没有超时就重写用户最后活动时间为当前时间。Top

13 楼leon528（）回复于 2006-03-09 16:06:15 得分 1

关注Top

14 楼Polarislee（北极星)(无房无车，飘在北京）回复于 2006-03-09 16:40:46 得分 0

楼上说得有道理，给cookie加个timestamp。  
   
  不过觉得把客户信息放在cookie里面实在是不太安全。Top

15 楼laoer（laoer.com）回复于 2006-03-09 17:04:02 得分 0

对Cookie加密，挺安全的。Top

16 楼VisaulAll（欧阳）回复于 2006-03-09 18:43:44 得分 1

Cookie是客户端脚本，它不会主动地请求服务器，也不会被服务器监察得到。这就是他和Session的不同的地方。  
  用户登陆-->更新在线-->客户端第隔几分钟主动地请求用户在线状态  
  服务器端-->不在看用用户在不在线，。。。  
  这样当用户一定时间不活动后，，用户也不就能主动地请求用户在线状态，服务器就可以认为他不在线了。。。。这个就模拟了Session  
  Top

17 楼laoxing521（想做程序员的农民）回复于 2006-03-10 09:59:52 得分 0

明白了  
   
  感觉太麻烦。。。。。。。。。。。。  
   
   
  暂不结帖  
  留大家继续讨论  
   
  Top

18 楼bbbbcccc（）回复于 2006-03-10 16:50:01 得分 0

http://valenhua.go3.icpcn.com/Top

19 楼showdelphi（热呼吸）回复于 2006-03-10 18:56:27 得分 1

wo   ye   skan   kan   yaTop

20 楼ton2010（我想学好J2EE上海的菜鸟）回复于 2006-03-10 20:48:22 得分 0

同城博客月Top20   [上海]   --------排名第3-------  
   
  1.    
  2.  
  3   天使的愤怒   ton2010    
   
  20.    
   
   
  http://www.blogcn.com/user89/oliver2010/index.html  
   
   
  《爱我还是他》  
   
   
  两个男孩，爱上了同一个女孩。  
  一个男孩，叫一凡，他桀骜不驯，我行我素，孤芳自赏，惟我独尊，敢做敢为。  
  另一个男孩，叫子昂，他稳重踏实，成绩优秀，性情温和，安分守己，沉默寡言。  
  这个女孩，叫倾城，她沉鱼落雁，清新可人，楚楚动人，似诗如画，气韵轩昂。  
   
  大一的时候：  
  一凡，因为擅自整改校广播台的体系框架和内容，被老师逐出广播台。  
  子昂，因为学习认真踏实，获得校奖学金一等奖，被老师选为学习委员。  
  倾城，成了子昂的朋友。  
   
  大二的时候：  
  一凡，因为不满校辩论赛内的黑幕，作为学院最佳辨手的他，毅然退出决赛，导致本学院在校总决赛中，以3：4输了总决赛，最后被剥夺学院最佳辨手称号……  
  子昂，因为为人踏实本分，听从老师安排，工作负责，被评为校优秀干部，优秀团员。  
  倾城，成了子昂的好朋友。  
   
  大三的时候：  
  一凡，因为不满团委总书记，对社团部内，官官勾结，弄虚作假，串改社团评分分数的无动于衷，作为计算机协会会长的他，毅然辞职……  
  子昂，因为妥善处理了学生会干部集体退出的事件，并给老师出了“金点子”，被老师选为校学生会主席，预备党员。  
  倾城，成了子昂的女朋友。  
   
  大四的时候：  
  一凡，因为出色的文采，被榕树下网站聘为专栏作家；因为在淘宝网的生意火爆，作为钻石卖家的他，月收入近万；因为在程序员大赛上的二等奖，被某著名IT公司提前录取；  
  因为在全国创业大赛上的得奖得一项发明，被某厂商买断专利权；因为……  
  子昂，因为在全国英语六级考试中作弊，被学校留校察看一年；因为串改学习成绩、奖学金评分表，被老师开除学生会内一切职务；因为这一切的一切，他失去了预备党员，失去了校优秀毕业生，失去了……  
  倾城，离开了子昂。  
   
  朋友告诉倾城：  
  你知道吗？  
  大一时，一凡被老师逐出广播台，有多少人联名上书挽留他吗？有多少人写信说喜欢他的广播风格，喜欢他的诗词文赋，喜欢他的诙谐幽默，喜欢他的……  
  大二时，一凡退出校辩论总决赛，被剥夺学院最佳辨手称号后，有多少人要他的签名？有多少人写信说喜欢他的刚正不阿，喜欢他的光明磊落？有多少人告诉他：他们心目中的冠军、校最佳辨手是他……  
  大三时，一凡辞去计算机协会会长后，有多少人因为他，毅然跟随他的脚步，辞去学生会副主席，辞去学习部部长，辞去社团部副部长，辞去……  
  泪水，在倾城的眼眶里打转……  
   
   
   
   
   
  http://oliver2010.blogcn.com  
   
   
  《可不可以不爱我》  
   
  我真的没有办法，像你爱我，那样地爱你，我很努力了，可是我还是做不到；  
   
  我真的没有时间，像你想我，那样地想你，我很用心了，可是我还是做不到；  
   
  我真的没有勇气，像你为我，那样地为你，我很尽力了，可是我还是做不到；  
   
  我真的没有能力，像你疼我，那样地疼你，我很用情了，可是我还是做不到；  
   
  我真的没有把握，像你给我，那样地给你，我很拼命了，可是我还是做不到......  
   
   
   
  :全部档案文件:    
  ※全部档案文件※  
   
  ·   《可不可以不爱我》   [原]   (发表于2006-2-22   19:09:40)      
  ·   《可不可以不爱我》   [原]   (发表于2006-2-22   19:09:40)      
  ·   《爱我还是他》   [原]   (发表于2006-2-21   20:21:28)      
  ·   《从来不敢这样地爱你……》   [原]   (发表于2006-2-20   22:51:20)      
  ·   《   你为何如此地爱我   》   [原]   (发表于2006-2-16   14:40:13)      
  ·   没有情人的情人节   (发表于2006-2-14   16:54:14)      
  ·   《你知道我在等你吗……》   (发表于2006-2-14   16:51:57)      
  ·   《贫穷》   (发表于2006-2-14   16:49:26)      
  ·   《幸福》   (发表于2006-2-14   16:48:13)      
  ·   MOTHER   (发表于2006-2-13   11:59:41)      
  ·   《一只披着狼皮的羊》   [原]   (发表于2006-2-13   11:58:36)      
  ·   《我曾经那样仓惶失措地爱着你……》(续II)   [原]   (发表于2006-2-13   11:58:27)      
  ·   《我曾经那样仓惶失措地爱着你……》(续)   [原]   (发表于2006-2-8   15:15:23)      
  ·   我不是我   (发表于2006-2-4   18:27:29)      
  ·   为了忘却的记忆   [原]   (发表于2006-2-4   18:26:23)      
  ·   《我曾经那样仓惶失措地爱着你……》   [原]   (发表于2006-2-3   13:15:57)      
  ·   不要认输-----------------让我感动的留言   (发表于2006-2-2   17:04:55)      
  ·   为了要得到幸福-----------------让我感动的留言   (发表于2006-2-2   17:00:04)      
  ·   为了与你相遇-----------------让我感动的留言   (发表于2006-2-2   16:52:44)      
  ·   不能没有你-----------------让我感动的留言   (发表于2006-2-2   16:44:03)      
  ·   无与伦比的你   [原]   (发表于2006-2-2   16:36:07)      
  ·   好人坏人   [原]   (发表于2006-2-1   17:36:35)      
  ·   当局者清旁观者迷   (发表于2006-2-1   17:35:12)      
  ·   幻想人生   [原]   (发表于2006-2-1   17:30:59)      
  ·   执迷不悟   [原]   (发表于2006-2-1   17:28:07)      
  ·   收放感情   [原]   (发表于2006-2-1   17:24:11)      
  ·   放爱生路   [原]   (发表于2006-2-1   17:20:33)      
  ·   爱情赌注   [原]   (发表于2006-2-1   17:17:10)      
  ·   太想爱你   [原]   (发表于2006-2-1   17:15:15)      
  ·   回忆似酒   (发表于2006-2-1   17:10:51)      
  ·   多情剑客无情剑   [原]   (发表于2006-2-1   17:07:11)      
  ·   《人民与官》----群众如是说   (发表于2006-2-1   17:07:00)      
  ·   tears   from   the   torn   heart   (发表于2006-1-31   17:25:30)      
  ·   Happiness   [原]   (发表于2006-1-31   16:40:10)      
  ·   愿赌服输   [原]   (发表于2006-1-31   14:04:13)      
  ·   花太香   [原]   (发表于2006-1-31   14:02:07)      
   
   
  http://oliver2010.blogcn.com  
   
  《从来不敢这样地爱你……》  
   
  从来不敢正眼，看你的眼神，因为我怕你那期待的目光中夹杂的疑虑；  
   
  从来不敢闭眼，在你的怀里，因为我怕你那温暖的胸怀会瞬间地冷却；  
   
  从来不敢奢望，在你的心里，因为我怕你那驿动的心扉会无情地关闭；  
   
  从来不敢吻你，在你的嘴间，因为我怕你那深情的吻会是最后的吻别   ......  
  Top

相关问题

• 用户
• 服务器
• 浏览器
• 证书
• 网易
• 检测
• 模拟
• 加密
• 通行证
• 发表于2006

• 帖主：laoxing521
• tomuno
• laoer
• VisaulAll
• Polarislee
• lengbb
• leon528
• VisaulAll
• showdelphi

• CSDN Java频道
• Java类图书
• Java类源码下载