8
當運行帶有servlet api的Java Web應用程序(如JSF或JSP頁面)時,會在該行的某處生成一個'唯一'SessionID來標識用戶的會話。sessionID是如何生成的?
我想知道如何生成這些會話ID。他們是否包含客戶的IP?時間戳?隨機數字?
其次,我想知道這一代發生在哪裏?這是依賴於運行應用程序的服務器嗎?
A
回答
6
+1
原來,對於Tomcat來說,他們最近發佈的Tomcat 7.0.59有一個可擴展的SessionIDGenerator http://tomcat.apache.org/tomcat-7.0-doc/changelog.html –
3
「的標識符是由servlet容器分配並根據其實施。」
無論何時創建新會話,都會生成jsessionid。
3
A java.security.MessageDigest算法通常被使用。
通常生成的ID只是一組隨機數,直到所需的長度,但它根據各種servlet容器中使用的算法而變化。
在的Tomcat6,例如,看一下:
ManagerBase.sessionIdLength
和
ManagerBase.createSession() //which calls generateSessionId()
見http://www.docjar.com/html/api/org/apache/catalina/session/ManagerBase.java.html
相關問題
- 1. 在WCF中生成SessionId
- 2. 如何覆蓋Spring Websockets中的sessionId生成器?
- 3. 在SQL Server中保存的SessionId不同於從asp.net運行時生成的SessionId
- 4. Asp.net Sessionid cookie:它是如何工作的?
- 5. PHPSESSID是如何生成的?
- 6. Paths_pandoc.hs是如何生成的?
- 7. 這是如何生成的?
- 8. joomla:CSS是如何生成的?
- 9. 有沒有辦法爲api.ai中的請求動態生成sessionid
- 10. 在登錄時生成一個新的SessionID(ASP.NET)
- 11. 獲取在另一個表中生成的確切SessionID
- 12. SessionId /身份驗證令牌生成的最佳做法
- 13. SpringSecurity - 需要在每次嘗試登錄時生成新的sessionId
- 14. Java SessionID:如何獲取GET SessionID參數的名稱?
- 15. 如何從`PreparedStatement`獲取sessionId?
- 16. SessionID在asp.net中爲單個請求生成多少次?
- 17. Devise的registration_path,它是如何生成的?
- 18. 如何獨特的是IIS 5,IIS6和IIS7的IIS的SessionID?
- 19. 如何SessionDisconnectEvent使用Spring的sessionId的WebSocket
- 20. Express SessionID與Cookie中的SessionID不同
- 21. Javascript源地圖是如何生成的?
- 22. rails 3 authenticity_token它是如何生成的
- 23. ApplicationController是如何自動生成的?
- 24. Highcharts.com文檔是如何生成的
- 25. 這些主鍵是如何生成的?
- 26. 飛鏢生成的庫如何生成?
- 27. 硒是給「KeyError異常:‘的sessionId’」
- 28. 春季安全 - 的sessionId是認證
- 29. SESSIONID元素SESSIONID未定義 - CF9
- 30. 如何在jmeter中執行javascript生成一些在後續請求中使用的sessionID
所以這看起來像有外的開箱沒有保護反對會話重播。我們測試了它,你確實可以篡改JSESSIONID的cookie值來劫持另一個用戶的會話。 :( –