31
我正在維護一個Java Web應用程序。httpservletrequest - 創建新會話/更改會話Id
查看登錄代碼,它通過HttpServletRequest的getSession()方法從HttpServletRequest中獲取HttpSession。 (它使用會話中的一些值進行身份驗證)
但是我擔心會話修復攻擊,所以在使用初始會話之後,我想要啓動新會話或更改會話ID。這可能嗎?
A
回答
37
Servlet 3.0 API不允許您更改現有會話上的會話ID。通常情況下,爲了防止會話固定,您只需要創建一個新會話並使舊會話無效。
您可以作廢這樣
request.getSession(false).invalidate();
一個會話,然後用
getSession(true)(getSession()應該也可以工作)創建一個新的會話
顯然,如果你在會話中有一個數據你想堅持下去,你需要將它從第一次會議複製到第二次會議。
請注意,對於會話固定保護,通常認爲只需在身份驗證請求上執行此操作即可。但更高級別的安全性涉及拋棄舊會話並針對每個請求進行新會話。
23
由於Java EE 7和Servlet API 3.1(Tomcat 8)可以使用HttpServletRequest.changeSessionId()來實現此類行爲。還有一個聽衆HttpSessionIdListener將在每次更改後調用。
+0
Shiro和changeSessionId是一個強大的組合。它允許我寫我的熔岩邏輯沒有分心'如果(成功)request.changeSessionId()'不需要重寫,我是nere – lrn2prgrm 2016-11-24 09:16:09
相關問題
- 1. 會話無效並創建新會話
- 2. 不要重新創建會話ID .NET Cookie會話
- 3. 會話ID值更改
- 4. Codeigniter更改會話ID
- 5. 會話ID隨機更改
- 6. 更改主題會話ID
- 7. 如何更改會話ID?
- 8. PHP會話創建者ID
- 9. REST - 創建會話
- 10. ASP.NET會話ID不會更新
- 11. 重新創建Express會話?
- 12. 創建會話
- 13. 創建會話
- 14. 更新會話
- 15. 更新會話
- 16. 會話名稱和會話ID更改時未設置
- 17. PHP:會話變量丟失,會話ID更改(使用Ajax)
- 18. 新創建的會話不會保留會話內容
- 19. Java servlet - 會話清理(HttpServletRequest)
- 20. 如何使用會話ID創建會話對象?
- 21. 使用特定的會話ID創建會話
- 22. 舊會話超時後創建會話
- 23. 在HttpServletRequest中修改請求的會話ID
- 24. 更新快速會話會話
- 25. 登錄後創建新會話
- 26. 會話值不會更新
- 27. 更改會話值
- 28. 更改PHP會話ID鏈接點擊
- 29. jquery文件上傳更改會話ID
- 30. asp.net中的會話Id更改
當getSession之前沒有被調用過,是不是應該給出NullPointerException? – FRotthowe 2010-02-22 14:36:58
的確如此,但我認爲我們假設會議存在。 – pablochan 2010-02-22 14:38:08
如果您使用'getSession()'而不是'getSession(boolean)'',我會鼓勵您。 – BalusC 2010-02-22 14:41:11