通过Java applet传递userid和password的替代方案是什么？

Question

小应用程序将帮助用户创建java类对象，这些对象将被发送到PHP服务器，服务器将该对象作为blob存储在MySQL数据库中。反之亦然--读回数据。

用户必须登录到PHP服务器才能查看此小程序。但同时，我不想让小程序“打开”，这样就可以在没有密码的情况下访问数据库(通过PHP)。

连接将如下所示：

Java Applet --发送URL流--> PHP脚本--身份验证--如果连接到数据库有效--> MySQL数据库

我希望这个过程来验证用户，但同时我不希望用户在登录网站后必须再次登录，同时我不希望小程序存储任何安全信息，因为这是不安全的。

这附近有路吗？或者，我将不得不寻找替代方案？(如果是这样，还有什么替代方案？)

Answer 1

您的小程序应该能够从显示它的页面读取cookies。因此，假设用户已经通过身份验证进入网页，您可以让它从页面获取一个会话ID (或其他任何东西)，并使用它来“验证”到您的服务器。但是，请记住，除非您使用加密会话(https)，否则这些cookie可能会在传输过程中被第三方读取。此外，您需要知道，您的页面上的任何第三方脚本也将能够读取这些cookie。

我认为从安全的角度来看，这并不像让用户再次向数据库进行身份验证那样理想，但这是一种可以使用的替代方法。

Answer 2

小程序调用应进入服务器在用户进入站点时已创建的同一HTTP会话。

会话由服务器创建，服务器将会话ID作为特殊Cookie发送。在基于java的服务器的情况下，它通常是jsessionid。服务器使用名为Set-Cookies的超文本传输协议响应头发送cookie。客户端应该使用头Cookies发回所有cookies。

因此，您的applet应该能够访问浏览器保存的cookie并发送它们。要访问浏览器的cookies，应使用允许LiveConnect从包含页面调用javascript的call应用程序接口。