java - 在 HttpSession 中存储关键数据是否安全？-6ren

java - 在 HttpSession 中存储关键数据是否安全？

转载作者：搜寻专家更新时间：2023-11-01 03:10:56

26

4

我使用 setAttribute 将用户数据(例如姓名、密码和电子邮件)存储在您的 HttpSession 中。

我想知道将关键数据存储在 HttpSession 中是否安全。

最佳答案

尝试将登录信息存储在以下用户存储库之一(登录时检查有效性):

在内存中(比如说，它可以是一个 xml 文件)，
基于 JDBC，
基于 LDAP。

这不是身份验证选项的完整列表。

您至少应该使用 SSL/HTTPS 登录和任何其他敏感数据。

看看这篇文章:http://en.wikipedia.org/wiki/Session_hijacking

这是关于该问题的精彩 SO 讨论:What is the best way to prevent session hijacking?

这里也提到了一些安全问题:What should every programmer know about web development?

关于java - 在 HttpSession 中存储关键数据是否安全？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/10438245/

26

4

0

文章推荐： Java/iText/Flying Saucer : Convert HTML containing svg tags to pdf

文章推荐： c# - dotnet 核心应用程序以管理员身份运行

文章推荐： c# - 我应该在每个等待的操作上调用 ConfigureAwait(false)

文章推荐： java - Apache 访问日志是否遗漏了请求？

Httpsession 适用于每个用户还是每个浏览器？
我正在使用 tomcat 作为我的网络服务器。我在 IE 中点击了一些 url，并为该请求在 HttpSession 中放置了一些对象。现在我的问题: 如果我关闭浏览器并在新浏览器中点击 url，我
Java HttpSession
java中的HttpSession是在servlet之后才创建的吗 HttpSession s = request.getSession(); ? 在我的代码中我没有这样写，但是当我使用 if (re
session - HttpSession 数据存储在哪里？
HttpSession是建立在 cookie 和 url-rewriting 之上的高级接口(interface)，这意味着只有一个 session ID 存储在客户端，与之相关的数据存储在服务器端。
jsp - HTTPSession 变量限制
HTTPSession 变量可以容纳的数据的最大限制(即大小)是多少？如果超过会发生什么？最重要的是，如果大小超过 HTTPSession 变量可以容纳的最大大小，那么在整个 session 中保存数
security - HttpSession 安全
servlet HttpSession 存储在哪里？在 HttpSession 属性中存储敏感信息是否安全。用户是否可以恶意修改 session 属性？最佳答案 HttpSession 的存储位
servlets - HttpSession 的编程失效
是否可以终止登录用户的 HttpSession？我们可以在用户 session 中执行以下操作: HttpSession s = request.getSession(false); s.inval
java - 模拟 HTTPSession
我使用 jdk1.6.0_24，当我尝试使用 Mockito 模拟 HTTP session 时，出现下一个错误: java.lang.UnsupportedClassVersionError:jav
java - HttpSession 联合测试
我无法在 HttpSession 上进行模拟。测试方法如下: @GetMapping @RequestMapping("/feed") public String feed(HttpS
java - HttpSession 对象的输出
我只是想知道打印 session 对象的输出是否像 System.out.println(sessiononject); 将返回 session 的创建时间。我将 session 对象存储在静态 Ha
Java 异常处理和 HttpSession
作为异常处理的一部分，我想打印来自 HTTP session 的数据，如下所示: try{ //business logic } catch(Exception ex){ Strin
java - HttpSession API
我是 servlet 新手，我对 HttpSession 有疑问， protected void doGet(HttpServletRequest request, HttpServletRespon
java - HttpSession 通过引用或值存储属性？
我在服务器应用程序中使用 HttpSession。并为 session 设置属性。我接下来的问题是: session 的属性如何设置——通过引用或值。担心不会java堆空间异常和RAM节省的问题。
java - 不朽的 HttpSession？
看完How do servlets work? Instantiation, sessions, shared variables and multithreading线程，我想知道是否在没有用户 s
Java HTTPSession——将用户电子邮件存储为字符串与存储用户对象
我有一个 HTTPSession 对象，我想在其中存储用户信息。我有两个选择将用户电子邮件存储为字符串并将用户从数据库中取出并每次都使用这些字段。在 session 中存储用户对象并获得 JST
java - HttpSession 有什么问题？
这个问题在这里已经有了答案: What is a NullPointerException, and how do I fix it? (12 个答案) 关闭 7 年前。你好，我有上面的代码 im
Java HttpSession 可以在运行时更改吗？
我有 2 个服务器。服务器A有一个cron系统，给定触发需求，通过servlet调用服务器B 在服务器 B 中，当收到服务器 A 的调用时，我将一些信息存储在 HttpSession 上，然后我启动一
jsp - HTTPSession 中存储的属性限制
是否存在单个 session 中可以存储的最大数据量？我知道仅在 session 中存储大量数据是一笔不好的交易。但是，存储的数量是否有限制，如果有，如何通知应用程序已达到此限制？仅此有异常(exce
http - 处理用户的多个同时 HttpSession
长话短说，当用户在我的 J2ee 门户中登录和注销时，我必须通知遵循奇怪业务逻辑的第 3 方 Web 服务。所以我关注她的 httpSession 开始/结束/超时但是用户可以创建多个 httpSe
java - HttpSession 跟踪和监控工具
我想跟踪 Java EE 应用程序中的所有 HTTP session 及其所有属性。是否有任何免费工具可用于监控 HTTP session ？我不能用 JProfiler 做到这一点吗？如果可以做到
java - HttpSession 超时后重定向
我一直在查看有关此主题的许多帖子，但找不到适合我的解决方案。我正在使用 Java EE 6 和 JSF 2.0(部署在 JBoss AS 7.1 上) 在我的 web.xml 中我有:

首页

博学

6Ren·AI

商城

java - 在 HttpSession 中存储关键数据是否安全？