在 JSF 中生成自己的会话 ID

Question

我有一个使用 JSF 框架的 Web 应用程序。 我一直在深入研究 Web 应用程序的安全部分，因此我希望生成自己的唯一会话 ID（使用加密算法并将其分配给用户登录后创建的每个新会话。

谁能指导我如何在会话中设置手动生成的会话 ID，并确保每个请求都传输会话 ID。

谢谢。

Answer 1

我真的怀疑您会生成比容器生成的会话 ID 更安全的会话 ID，但您可以这样做，而无需使用任何特定于容器的扩展。

创建一个 servlet 过滤器来拦截对服务器的每个请求。

当一个请求进来时，检查这个请求是否已经存在一个会话（使用getSession(false)）。如果存在，则从请求中提取您的特定 cookie MY_SESSION_ID，并将其值与存储在会话中的值进行比较。如果它们不匹配，则拒绝请求。

如果会话不存在，则创建它（使用getSession(true)），生成您的超级安全会话 ID，将其存储为会话属性并将 cookie MY_SESSION_ID 添加到响应中。

这具有自动创建会话的缺点，即使它不是严格需要的。但在使用组件框架的 JSP 时，大多数时候都是这种情况。

Answer 2

在 JSF 应用层尝试这样做是不可能成功的；我会在较低级别的 API 上执行此任务。我假设一个 servlet 容器。

我可以想到两种方法：

1. 通过特定于服务器的 SPI（如果存在的话）在容器级别执行此操作
2. 通过 servlet Filter 重写请求/响应来做到这一点

没有足够的信息来评论第一种方法的可行性。

在第二个中，您必须确定会话 cookie 的名称（通常是 JSESSIONID，但不一定是）。您的 API 将：

1. 将过滤器映射到所有应用程序请求
2. 维护容器会话 ID 到“安全”ID 的映射
3. 使用过滤器重写请求中带有会话 id 的任何会话 cookie
4. 使用过滤器重写具有安全 id 的响应中的任何会话 cookie
5. 使用listener 从映射中删除无效会话以避免内存泄漏