2
據我所知,無法使Domino HTTP會話(darn IMAP)失效或丟棄特定(或多個,例如,基於用戶名)。 是否有/什麼是適當的變通辦法/機制以某種方式丟棄/無效的Domino HTTP會話?使Domino/HTTP會話失效/丟棄?
一些示例情況可能是:
- 相同的用戶,兩會上,這些用戶改變HTTP密碼(在這一點上所有其他會議應立即失效)之一。如果他/她繼續在另一個(瀏覽器)會話中工作/瀏覽(某些時候),則會在控制檯上看到「使用互聯網密碼進行身份驗證失敗」消息,如果您運氣不好,用戶會被鎖定。
- Facebook風格;概述您當前的活動會話。更進一步的,如果他們看到一個基於IP /位置的可疑會話,讓他們控制使其無效。
- 客戶來電; 「我感覺我的會議被劫持了」。第一反應; 「你是一個聰明的用戶,不是嗎?」。隨後,您希望使用該用戶名(通過控制檯或「管理員」Web界面)刪除這些會話。
- ...
你嘗試了什麼,什麼不適合你? 對於XPage,您可以使用自定義PhaseListener(請參閱http://devgrok.blogspot.cz/2009/07/access-control-using-phaselistener.html或http://www.jsftutorials.net/faces-config /phaseTracker.html)爲例。您還需要參考http://docs.oracle.com/javaee/1.4/tutorial/doc/JSFIntro10.html,以便您確切知道何時需要執行檢查。 –
感謝您的評論。我們確實可以將用戶名和已初始化的SessionID存儲在範圍映射中,並在適當階段根據該映射進行驗證。但要指出的是,Sessions將仍然存在於服務器上。案例3例如;所有需要的是服務器上的主動(初始化)會話和創建的DomAuthSessId cookie來劫持會話。所以在那種情況下(儘管如此)需要做的是: HttpSession.Destroy(「用戶/會話ID」)或類似的東西;告訴http drop session –
Dalie
雖然您的場景非常真實,但我並不認爲它是主要風險,假設您已將所有安全建議應用於您的服務器。你可以隨時跟蹤用戶的IP到他的cookie。您可以始終禁用對服務器上所有數據庫的Web訪問,但需要向Web用戶公開的內容除外。您不需要公開Domino目錄來執行用戶身份驗證。您必須始終使用SSL,因此您可以防止MITM攻擊。 –