Является ли SSO накладными?
2015, новый MutationObserver поддерживается современными браузерами:
Chrome 18+, Firefox 14+, IE 11+, Safari 6 +
Если вам нужно поддерживать более старые, вы можете попытаться вернуться к другим подходам, подобным тем, которые упомянуты в этом предыдущем ответе 5 (!)). Там есть драконы. Наслаждайтесь :)
Кто-то еще меняет документ? Поскольку, если у вас есть полный контроль над изменениями, вам просто нужно создать свой собственный API domChanged - с функцией или настраиваемым событием - и вызвать / вызвать его везде, где вы меняете.
Уровень DOM Level-2 имеет типы событий мутации , но более старая версия IE не поддерживает его. Обратите внимание, что события мутации устарели в спецификации DOM3 Events и имеют производительность .
Вы можете попытаться эмулировать событие мутации с помощью onpropertychange в IE (и вернуться к подходу грубой силы, если не доступно).
Для full domChange интервал может быть чрезмерным. Представьте, что вам нужно сохранить текущее состояние всего документа и изучить каждое свойство каждого элемента как одно и то же.
Возможно, если вас интересуют только элементы и их порядок (как вы упомянули в ваш вопрос), getElementsByTagName("*") может работать. Это автоматически срабатывает, если вы добавите элемент, удалите элемент, замените элементы или измените структуру документа.
Я написал доказательство концепции:
(function (window) {
var last = +new Date();
var delay = 100; // default delay
// Manage event queue
var stack = [];
function callback() {
var now = +new Date();
if (now - last > delay) {
for (var i = 0; i < stack.length; i++) {
stack[i]();
}
last = now;
}
}
// Public interface
var onDomChange = function (fn, newdelay) {
if (newdelay) delay = newdelay;
stack.push(fn);
};
// Naive approach for compatibility
function naive() {
var last = document.getElementsByTagName('*');
var lastlen = last.length;
var timer = setTimeout(function check() {
// get current state of the document
var current = document.getElementsByTagName('*');
var len = current.length;
// if the length is different
// it's fairly obvious
if (len != lastlen) {
// just make sure the loop finishes early
last = [];
}
// go check every element in order
for (var i = 0; i < len; i++) {
if (current[i] !== last[i]) {
callback();
last = current;
lastlen = len;
break;
}
}
// over, and over, and over again
setTimeout(check, delay);
}, delay);
}
//
// Check for mutation events support
//
var support = {};
var el = document.documentElement;
var remain = 3;
// callback for the tests
function decide() {
if (support.DOMNodeInserted) {
window.addEventListener("DOMContentLoaded", function () {
if (support.DOMSubtreeModified) { // for FF 3+, Chrome
el.addEventListener('DOMSubtreeModified', callback, false);
} else { // for FF 2, Safari, Opera 9.6+
el.addEventListener('DOMNodeInserted', callback, false);
el.addEventListener('DOMNodeRemoved', callback, false);
}
}, false);
} else if (document.onpropertychange) { // for IE 5.5+
document.onpropertychange = callback;
} else { // fallback
naive();
}
}
// checks a particular event
function test(event) {
el.addEventListener(event, function fn() {
support[event] = true;
el.removeEventListener(event, fn, false);
if (--remain === 0) decide();
}, false);
}
// attach test events
if (window.addEventListener) {
test('DOMSubtreeModified');
test('DOMNodeInserted');
test('DOMNodeRemoved');
} else {
decide();
}
// do the dummy test
var dummy = document.createElement("div");
el.appendChild(dummy);
el.removeChild(dummy);
// expose
window.onDomChange = onDomChange;
})(window);
Использование:
onDomChange(function(){
alert("The Times They Are a-Changin'");
});
Это работает на IE 5.5+, FF 2+, Chrome, Safari 3+ и Opera 9.6 +
1 ответ
Возможно ли, чтобы приложение могло проверить действительность токена самостоятельно, не делая сетевой вызов на сервере auth?
- Истечение срока действия: Включить en
expзаявить в токен с датой истечения срока действия. Любой клиент может декодировать токен и проверять дату- Подпись: клиент может проверить подпись маркера, чтобы проверить, исходит ли он от ожидаемого сервера и доверять содержащимся данным. Затем вам понадобится использовать асимметричную пару ключей (например, RSA)
. Каковы лучшие практики, которые должен выполнять разработчик приложения при использовании сервера auth для SSO?
< / blockquote>Этот вопрос основан на мнениях и вне темы в StackOverflow. Не могли бы вы уточнить свои сомнения или включить проблему программирования?
Является ли SSO служебной?
Нет, ваше приложение является ярким примером того, зачем нужна система SSO:
- SSO: 5 приложений -> 1 пользовательский вход
- Без SSO: 5 приложений -> 5 пользовательских логинов
-
1Спасибо pefrofb за быстрый ответ! Можно ли полагаться на бэкэнд расшифровки клиентского приложения и проверку даты истечения срока действия? Как будет известно клиентское приложение, если токен не был взломан? Что касается подписи: не могли бы вы указать мне любую справочную статью, чтобы лучше понять ее? – Jinnah 13 July 2018 в 08:51
-
2Это безопасно, если вы можете проверить подпись токена с помощью открытого ключа сервера, или токен был получен через доверенное соединение с сервером. Я имею в виду канал SSL / TLS. См. этот и этот вопрос, чтобы понять разницу между использованием симметричных или асимметричных ключей – pedrofb 13 July 2018 в 08:56