Amigos,
Estou com uma
duvida, se alguem puder me ajudar...
No livro Head First
Servlets & JSP, capitulo sobre segurança, na ultima questão do simulado,
pergunta-se:
Qual mecanismo de
autenticação é recomendado somente se os cookies ou tracking de sessão SSL
estiverem ativados?
A resposta dado pelo
livro é: Autenticação baseada em formulário
No simulado do
capitulo sobre gerenciamento de sessões estão algumas informações
interessantes.
Na questão
5 descobrimos algumas verdades sobre gerenciamento de
sessões:
(A) A reescrita de
URL pode ser usada por um servidor como base para o monitoramento de
sessões.
(B) O SSL tem um
mecanismo nativo, que um container servlet pode usar para obter dados usados
para definir uma sessão.
(D) Ao usar cookies
para acompanhar as sessões, o cookie usado para acompanhar a sessão deve receber
o nome de JSESSIONID.
Diante de todas
estar informações o que ainda não entendi é porque a autenticação baseada em
formulário não é recomendada num cenario onde o gerenciamento de sessão se
dê
por reescrita de
URL. Ou melhor, porque somente a autenticação baseada em formulário não é
recomendada neste caso? Quais recursos as outras formas de gerenciamento de
sessões possuem que permitem seus usos em cenarios sem cookies ou
SSL?
att, Paulo
Marcio
