状态管理

因为 HTTP 是无状态协议。为 Web 编写的应用程序必须使用特殊技术来管理应用程序上下文或状态。 CSP 提供了许多用于状态管理的机制。这些中的每一个都可能适用于特定情况。

请求之间的跟踪数据

Web 应用程序中状态管理的基本问题是跟踪连续 HTTP 请求之间的信息。有许多可用的技术，包括：

使用隐藏的表单字段或 URL 参数在单个页面上存储数据
将数据存储在客户端的 cookie 中
将数据存储在服务器上的对象中的 %CSP.Session中
在 Caché 数据库中存储数据

在页面中存储数据

要将状态信息存储在页面中，必须放置它以便来自该页面的后续请求包含该信息。

#CSP #Caché

0 0

0 29

文章

姚鑫 · 十月 19, 2022 阅读大约需 2 分钟

第二十一章 CSP Session 管理 - 身份验证和加密

身份验证和加密

在发送到 HTTP 客户端的页面上放置状态信息是很常见的。当从这些页面发出后续请求时，会将状态信息发送回服务器。很多时候，重要的是将状态信息放置在网页上，以便 a) HTTP 源的查看者无法确定状态信息的值，并且 b) 服务器可以验证返回的信息是，实际上，从同一服务器和会话发送出去。通过其加密服务，CSP 提供了一种易于使用的机制来实现这一点。

Session Key

CSP 可以使用加密密钥对服务器上的数据进行加密和解密。每个 CSP session 都有一个唯一的会话密钥（可通对象 Key 属性中的 %CSP.Session 访问），用于加密会话数据。这种机制是安全的，因为会话密钥永远不会发送到 HTTP 客户端；它作为 %CSP.Session 的一部分保留在 CSP 服务器上，位于对象中。

#CSP #Caché

0 0

0 54

文章

姚鑫 · 十月 20, 2022 阅读大约需 4 分钟

第二十二章 CSP Session 管理 - Private Pages

CSP 提供了私有页面的概念。只能从同一 CSP 会话中的另一个页面导航到私有页面。私有页面对于想要限制对某些页面的访问的应用程序很有用。

例如，假设有一个名为 private.csp 的私有页面（CSP 示例页面之一）。用户无法直接导航到 private.csp（例如，通过输入其 URL）。用户只能从另一个 CSP 页面中包含的链接导航到 private.csp。引用 CSP 页面中包含的链接不能是绝对 URL，以 http:// 开头。只有相对于引用页面的路径才被私有页面方法正确加密/标记。即：下面的前两个链接将相同的令牌传递给目标私有页面 test2.csp。

#CSP #Caché

0 0

0 46

文章

姚鑫 · 十月 22, 2022 阅读大约需 4 分钟

第二十四章 CSP Session 管理 - 认证架构

认证架构

安全上下文和粘性登录

应用程序在会话中运行。会话需要运行应用程序的安全上下文。安全上下文包含身份验证状态。

By-Sessions 和 By-ID Groups 有一个粘性登录，它会记住会话或组中使用的最后一个应用程序的安全上下文。如果组应用程序中的用户以其他用户身份登录，则会更新粘性登录。（如果用户登录到未经身份验证的应用程序，则粘滞登录不会更新。）

在会话中跳转到应用程序时，会话会尝试使用适合目标应用程序的粘性登录。如果粘性登录与会话的当前安全上下文不匹配，并且应用程序可以接受粘性登录中的身份验证方法，则会话的安全上下文切换到粘性上下文中的安全上下文。

会话结束时，会话的粘性登录会丢失。当包含该组的任何应用程序的所有会话都结束时，该组的粘性登录将丢失。

初始登录后，组有一个关联的粘性登录对象，它在进入组的一个应用程序时尝试使用该对象。当组中的应用程序输入为 UnknownUser 时，粘性登录不会更新，因为这会将组中的所有其他应用程序移动到未经身份验证的安全上下文中。

#CSP #Caché

0 0

0 34