Univention Bugzilla – Bug 27936
Session-Handling ohne Cookies
Last modified: 2017-02-09 14:12:51 CET
Created attachment 4542 [details] Patch für Session-Handling ohne Cookies Anbei ein Patch, der das Session-Handling ohne Cookies über spezielle durch JavaScript gesetzte Headers ermöglicht. Der Web-Server unterstützt dies bereits (wenn "version" gesetzt ist bei umcp/auth; Umsetzung über Bug 26635), zumindest Cookies muss er auch weiterhin unterstützen bei Updates von alten Systemen aus. Der Patch berücksichtigt momentan noch nicht, dass bspw. im Drucker-Moderation-Modul für UCS@school GET-Befehle genutzt werden, um über window.open() auf PDF-Dateien zuzugreifen. Vielleicht könnte dies über Einweg-Hashes oder über temporäre Cookies ermöglicht werden.
To be discussed. Wenn wir dies umsetzen möchten, sollten wir dies zu Beginn der 3.1-Entwicklung angehen.
Wie besprochen zunächst auf 3.x, da nicht kritisch und da sich ggf. in Zukunft noch einiges ändern kann (z.B. Single-Sign-On).
It makes no sense to replace the Cookie header with an own implementation (X-UMC-Session-ID) if the communication still requires state.