BMAS Geschrieben 15. März 2004 Geschrieben 15. März 2004 Einige Kollegen und ich wollen ein hmm, Portal(?) schaffen, um ein Single-Sign-On für mehrere Webapplikationen (alles Servlets) zu ermöglichen. Wir wollen dies so umsetzen, dass sich ein Benutzer einmal am System anmeldet und ihm je nach Rechten Anwendungen zur Verfügung gestellt werden. Die betreffenden Anwendungen werden von uns so angepasst, dass sie dieses System unterstützen. Nur: Wie sollte die Sache mit dem einmaligen Login für alle Anwendungen am besten bewerkstelligt werden? Parameter in der URL (etwa der Benutzername+PW) sind mir viel zu unsicher Geht das mit Cookies? Kann ich ein Cookie mit einem Servlet erstellen und mit einem anderen Servlet auslesen? (Cookies sind ja auch auslesbar, jedoch noch um einiges sicherer als die Sache mit den Urls). Gibt es noch andere (bessere) Möglichkeiten? Zitieren
jan76 Geschrieben 15. März 2004 Geschrieben 15. März 2004 am besten und am sichersten ist, du verwendest die Möglichkeiten die Dir Dein Servlet-Container bereitstellt, z.B. bei Tomcat die SSO-Valve, andere Servlet-Container bieten ähnliche Möglichkeiten Cookies sind zu unsicher! Zitieren
stscit04 Geschrieben 17. März 2004 Geschrieben 17. März 2004 Warum sind Cookies bitte unsicher ? Sogar WebSphere verwendet Cookies für SingleSignOn. Das einzige Problem ist, dass Cookies nur von der gleichen Domain ausgelesen werden können, in der sie gesetzt werden. MfG Stefan Zitieren
jan76 Geschrieben 17. März 2004 Geschrieben 17. März 2004 ok, war zu pauschal: in einem cookie sollte man auf jeden fall keine U/P speichern - bestenfalls eine Art SessionID, die man dann entsprechend wieder auf einen User mappen kann - dann ist es sicher ;-) Zitieren
BMAS Geschrieben 18. März 2004 Autor Geschrieben 18. März 2004 Original geschrieben von stscit04 Warum sind Cookies bitte unsicher ? Sogar WebSphere verwendet Cookies für SingleSignOn. Das einzige Problem ist, dass Cookies nur von der gleichen Domain ausgelesen werden können, in der sie gesetzt werden. MfG Stefan Hmm... wenn ich ein Servlet habe das z.B. in folgendem Context liegt: http://appserv.m.nlde:8080/servlets/login und dieses ein Cookie erstellt. Kann ich dann von: http://appserv.m.nlde:8080/servlets/test Darauf zugreifen? Ich meine es ist ja immer dieselbe Domain, nur ein anderes Servlet+Context. Wie genau mache ich das? Kann ich das einfach so auslesen? Muss ich die Domain setzen? Wg. SSO ich müsste mich da erstmal einlesen, leider habe ich auf Anhieb nichts in den Google-Groups oder im I-Net gefunden. Das Projekt ist leider Zeitkritisch (joar, das weiss ich seit gestern :eek: ) und müsste in 2 Wochen fertig sein. Von daher... nehme ich am besten die schnellste Lösung (Cookies) und ändere das ganze sobald Zeit da ist. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.