ASP - session a autorizace
Mám stránky v ASP, na které se musí uživatel autorizovat a jeho účet je ověřen v Active Directory a také je ověřeno členství ve skupině.
Jméno a heslo se ukládá na hlavní stránce do session a na druhé stránce se načte a použije se pro autorizaci, která se v tuto chvíli provádí na každé stránce znovu.
Když se autorizace nezdaří, tak je uživatel přesměrován na přihlašovací stránku.
Toto funguje, jenomže se mi autorizace na každé stránce zdá jako zbytečnost a je snadnější zkontrolovat jen existenci session. Otázka je, jestli je toto řešení bezpečné - jestli se např. na serveru nedá session vytvořit nějakým jiným způsobem.
V podstate je to rovnako bezpecne riesenie. (pokial na stranke nemas XSS, vtedy su obe riesenia rovnako nebezpecne)
Cize staci sa raz authentifikovat voci AD, a ked je to uspesne, ulozit si tuto informaciu do session,
a potom na dalsich strankach kontrolovat uz len 'korektnu' session.
Neviem ako v ASP, ale v JEE svete sa na to da nalpesie pouzit ServletFilter. Kazdy request na protected resource ide cez ten filter, kde sa checkne podla informacie zo session ci je user prihlaseny, a ked nieje, je redirektnuty na login page.. t.j odpada nutnost zaoberat sa ci je user prihlaseny na kazdej stranke.