java servlet 中的 Servlet 会话数据

【问题标题】:Servlet session data in java servletjava servlet 中的 Servlet 会话数据
【发布时间】:2015-02-12 05:23:06
【问题描述】:

我注意到当 cookie 被禁用时,servlet 将会话数据编码为 URL(可见)。当有人窥探网络中的流量时,这不会打开攻击的可能性吗?另外,为什么不将它添加到数据部分并作为发布请求发送,以便可以使用https来提供安全性?

当登录成功时,我目前正在创建一个会话,并将用户 ID 存储在会话中,并将用户 ID 和会话 ID 的组合存储在数据库中。对于每个操作,我都在验证提供给存储在数据库中的会话 ID 和用户 ID 以及会话 ID。这是正确的做法吗?

【问题讨论】:

    标签: security servlets httpsession session-storage


    【解决方案1】:

    会话 ID 是在 cookie 中还是在 URL 中都没有关系。如果有人查看网络流量,他可以在这两种情况下获取 id。

    如果你想保护会话ID,https是唯一的方法。

    而且 https 也保护 URL。

    【讨论】:

    • 我已经为这个问题添加了我的方法。如何保护登录信息?
    • 你必须更具体。你说的安全是什么意思?通常,https 用于登录凭据。如果您对会话管理感兴趣,可以查看this
    猜你喜欢
    • 2013-12-06
    • 2011-08-06
    • 1970-01-01
    • 2012-04-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-02-14
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode