Web 客户机基于会话的名称和密码认证

要对拥有 Domino® Web 服务器访问权的 Web 客户机设置名称和密码认证,可以使用以下两种方法之一:基本名称和密码认证或基于会话的名称和密码认证。基于会话的名称和密码认证包括基本名称和密码认证不可用的其他功能。会话被定义为 Web 客户机使用 cookie 登录服务器这一时间段。要指定启用并控制会话认证的设置,可根据配置编辑“Web 站点”文档或“服务器”文档。

此外,启用基于会话的认证有两种选择,即单服务器和多服务器选择。选择单服务器将使服务器生成的 cookie 只能由生成它的服务器使用,而选择多服务器则可使所生成的 cookie 允许所有共享 Web SSO 配置文档的服务器使用单次登录功能。

要使用基于会话的认证,Web 客户机必须使用支持 cookie 的浏览器。Domino® 使用 Cookie 来跟踪用户会话。

基于会话的名称和密码认证的特性

名称和密码认证发送客户机的名称和未加密的密码,并将其与每个请求一起发送到服务器。基于会话的认证的不同之处在于,只在用户首次登录时将用户名和密码信息通过网络发送到服务器,而不是每次都投递请求。登录之后,用户名和登录信息就存储在用户浏览器的 cookie 中,然后该浏览器将 cookie 与每个请求一起发送到服务器。在处理请求之前,服务器要认证 cookie 中的信息,并通过 cookie 中的内容来识别已登录的用户。该会话只在执行登录所在的浏览器中有效。如果用户关闭了执行会话登录所在的浏览器,则用户会话将会结束,并且 cookie 将被销毁。

基于会话的名称和密码认证与基本名称和密码认证相比,控制用户交互的能力更强。例如,您可以定制用户在其中输入名称和密码信息的表单。此选项还允许用户在不关闭浏览器的情况下注销会话。

定制 HTML 登录表单

HTML 登录表单允许用户输入名称和密码,然后将该名称和密码用于整个用户会话。浏览器使用服务器的字符集向服务器发送名称和密码。对于 HTTP 会话认证,用户可以使用 Unicode 中的任何可打印字符输入名称。但是用户密码必须使用 US-ASCII 中的任何可打印字符输入。

注: 可打印字符不包括控制字符。

Domino® 提供缺省 HTML 表单 ($$LoginUserForm),它在 Domino® 配置数据库 (DOMCFG.NSF) 中提供并进行配置。您可以定制该表单或创建您自己的表单以便可以包含其他信息。

空闲会话超时时间

可指定缺省注销时间段。在指定的闲置时间之后,Web 客户机将从服务器上注销。这将强制 Domino® 用于跟踪用户会话的 cookie 到期。自动将用户从服务器上注销可防止一旦某个用户在注销前离开工作站,他人使用 Web 客户机来冒充该用户。如果为服务器启用基于会话的名称和密码认证,那么用户也可以通过在 URL 末尾附加 ?logout 来注销会话,例如 http://renovationsserver/sessions.nsf?logout

也可以将注销重定向到设计元素或 URL。例如:

http://renovationsserver/sessions.nsf?logout&redirectto=/logoutDB.nsf/logoutApp?OpenPage
http://renovationsserver/sessions.nsf?logout&redirectto=http://www.sales.com

您可以将这种表达方式编译到应用程序中(例如,通过按钮来使用)或将其作为 URL 键入。

最大用户会话数

您可以在服务器上仅针对基于单服务器会话的认证指定允许同时存在的用户会话的最大数目。如果服务器执行速度较慢,则可以减小此数目。

因特网密码管理

还可以通过策略文档和定制密码策略为基于会话的认证管理因特网密码。

基于多服务器会话的认证

基于会话的多服务器认证(也称为单点登录)允许 Domino® cookie 跨越多个服务器。它还允许 Domino® 和 Websphere 服务器进行互操作并共享 cookie。

注: 如果您的服务器针对循环法 DNS 进行设置,则应对基于会话的名称和密码认证使用多服务器选项。如果将单服务器 cookie 用于循环法 DNS,服务器将无法在内存中存储会话信息。此外,如果服务器重新启动或崩溃,那么会话信息将丢失,并且用户必须重新输入其名称和密码。在多服务器会话设置中,当重新启动服务器时,会话 cookie 可能仍然有效(如果该 cookie 还未到期)。但是,用户必须继续从执行用户登录所在的同一个浏览器窗口访问服务器。