2
我使用spring security(Forms身份驗證)來驗證傳入用戶。我們使用真正的用戶名和密碼登錄。現在我只是從瀏覽器中複製JSESSIONID,並從android創建新的Http請求,並將相同的JSESSIONID傳遞給spring服務。請求也得到了android的授權。Spring安全,JSESSIONID複製問題
這意味着任何人只要得到正確的JSESSIONID就可以破壞安全。
我們如何在春季安全中避免這種情況?