关于web的用户身份认证问题...300分(300分)

T

tsp

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-09-27

• #21

　　通过“文件／新建／窗口”打开的窗口与前一个窗口是共用一个Session的，右键点击
“连接／在新窗口打开”也是这样，比如说现在这个讨论就是我在保持主目录的情况下新
开的一个窗口，如果进入这个窗口都需要登录的话，那谁还受得了？当然，此时仍然有认
证，只不过是系统在判断Session合法后直接打开而已。
　　但是通过点击IE打开新窗口的话，相当于又开始了一个进程，系统在Global.asa中对
Session初始化，导致进入页面时需要登录（前提是在页面开头包含了认证过程）。

 

K

kawen

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-09-27

• #22

在Url中包含userid,password等信息,还有时间信息,例如每次进入163信箱的url不一样,
但多能进入,其实是将cookie信息转换到URL连接中了,不用cookie

 

F

Fencer

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-09-27

• #23

找个CA或干脆自己做个CA给用户申请自己的证书和私钥，用用户的私钥签名在服务器端
用户的公钥去验证签名，可以验证用户的身份，现在大部分电子商务的网上支付业务都
是这么做的。

 

G

g622

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-09-27

• #24

没有别的办法了？

 

P

pxd

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-09-27

• #25

说了这么多，我想大家也该都明白了，不明白的再往上面看看timerri的文章。

asp,php,jsp在安全验证方面其实一个样，对于简单应用来说他的cookie足够了。除非你是
真的黑客，想截下用户的cookie，到了这种关键应用的时候，用户就会用上数字签名、加密
证书等加密办法了。
网络社会还没发展到那一步，每个用户登录任何地方都得用上加密，要不然现在每个网站
登陆都得做成SSL、数字签名、证书为必选项了。

btw:
对于支持多Session对话的IE5(IE4不支持，你开多少个窗口都是同一个Session)，服务器要
想做成认为其是同一用户，可用Cookie，象Chinaren.com。

 

小

小猪

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-10-05

• #26

我好像看到过说sessinid只在iis启动时是随机的
之后是递增的,至少在pws上我发现确实是这样的

 

W

wjiachun

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-11-11

• #27

多人接受答案了。