Nous avons un serveur Tomcat pour une boutique en ligne et nous devons transférer l'utilisateur vers un autre serveur (sécurisé) lorsqu'il se connecte. Voici une explication détaillée:Comment transférer une session d'un serveur Tomcat à un autre?
1) Nous avons deux serveurs Tomcat: un « régulier » (HTTP) et un sécurisé (HTTPS)
2) les utilisateurs visitent d'abord le serveur régulier
3) Quand ils se connectent, nous avons besoin pour obtenir leur journal dans les données, ainsi que les informations sur quelle page ils étaient actuellement (ou essayaient de voir), passez-la au serveur sécurisé et faites la connexion; par exemple, un utilisateur non connecté voit une liste de produits, clique sur 'ACHETER' et une fenêtre contextuelle s'affiche pour demander à l'utilisateur de se connecter; l'utilisateur saisit ses identifiants et ceux-ci, ainsi que les informations sur le produit qu'il souhaite acheter, sont transmis au serveur sécurisé; le serveur sécurisé les reçoit, effectue la connexion et affiche le produit demandé à l'utilisateur
Comment cela a-t-il pu être fait? S'il vous plaît noter les points suivants:
1) Nous avons essayé de le faire avec les cookies, mais nous avons décidé de ne pas aller dans ce sens
2) Persistant la session à une base de données et ayant le serveur sécurisé le chercher n'est également pas une option
Y a-t-il d'autres moyens? Nous avons pensé à créer un objet puis à le passer en paramètre HTTP POST, mais je ne suis pas sûr de savoir comment cela pourrait être fait (on m'a donné la tâche de le finir).
Pour ce que ça vaut, les technologies que nous utilisons sont le serveur Tomcat, Wicket, Spring, iBatis et MySQL.
Merci à l'avance :)
Puis-je vous demander pourquoi vous avez décidé de ne pas utiliser les cookies? Chaque site que j'ai utilisé pour suivre les sessions utilisateur sur plusieurs serveurs Web a utilisé des cookies. Vous définissez un cookie avec un identifiant unique pour l'utilisateur et si le cookie existe, recherchez votre session utilisateur dans le db. Lequel ta seconde note tue. – Speck
Le problème est dans la deuxième note. Nous ne souhaitons pas utiliser la base de données, nous devons donc enregistrer le nom d'utilisateur, le mot de passe et les informations sur ce qu'il a cliqué dans un cookie (ou plusieurs d'entre eux). Garder les noms d'utilisateur et les mots de passe dans les cookies est un risque pour la sécurité ... A moins que ceux-ci ne puissent être sécurisés? – Zoolok
Ne conservez pas le mot de passe du nom d'utilisateur dans le cookie.Mettez un identifiant de session unique dans le cookie qui est associé à la fois à l'adresse IP de l'utilisateur et au compte utilisateur. Faites également expirer le cookie avec sa session de navigateur. – Speck