Q

Spring安全，JSESSIONID複製問題

2016-05-16 32 views 2 likes

2

我使用spring security（Forms身份驗證）來驗證傳入用戶。我們使用真正的用戶名和密碼登錄。現在我只是從瀏覽器中複製JSESSIONID，並從android創建新的Http請求，並將相同的JSESSIONID傳遞給spring服務。請求也得到了android的授權。Spring安全，JSESSIONID複製問題

這意味着任何人只要得到正確的JSESSIONID就可以破壞安全。

我們如何在春季安全中避免這種情況？

2016-05-16 Krishnaveer

A

回答

1

這不是真正的威脅。

您的威脅模型是：用戶可以驗證身份並將自己的會話ID複製到他們控制的另一臺計算機。

黑客無法竊取別人的會話ID。這是重要的一部分。

2016-05-16 17:48:05

相關問題

1. Spring安全認證問題
2. Spring安全ConcurrentSessionControlStrategy問題
3. Spring安全與OpenIDAuthenticationFilter問題
4. Spring安全配置問題
5. Spring CORE Spring CORS安全認證問題
6. 其餘的調用需要JSESSIONID（Spring引導，Spring安全，OAuth2，Zuul）
7. CURL JSESSIONID問題
8. 另一個Spring安全問題
9. Spring安全問題 - 404錯誤
10. 複製CodeIgniter安裝問題