gpt4 book ai didi

java - java中如何维护session

转载 作者:塔克拉玛干 更新时间:2023-11-02 08:50:30 26 4
gpt4 key购买 nike

我知道以下是在 java 中维护或 session 跟踪的方法,但正在寻找一个好的方法

  • URL 重写
  • 隐藏表单域
  • cookies
  • 像 setAttribitute() 和 session.getAttribute() 这样的 session 对象

如果客户端浏览器已阻止接受和存储 cookie,那么最后两种方式无效。在隐藏表单字段中,我需要在表单内的每个页面中传递隐藏值。所以假设如果我只是使用 response.sendRedirect() 然后隐藏的表单字段不使用。剩下的是 URL 重写,我将在 URl 中传递 JsessionID。所以我的问题是知道 sessionID 是不是未经授权的人可以访问页面.例如有3个页面登录,注册,发送。所以登录后用户可以注册和/或发送。所以如果有人知道sessionID不能他/她直接去注册/发送页面。如果是请告诉我如何禁止这个

最佳答案

从 Servlet 3.0(Apache Tomcat 7 起)开始,如果您使用 SSL,则可以将您的应用程序配置为根据 SSL session ID 跟踪 session 。缺点是一切都必须通过 SSL。优点是 session 与 SSL 连接紧密相关。只有创建到具有正确 SSL session 的服务器的连接的用户才能访问该 session 。即使攻击者知道 session ID,他们也无法访问该 session 。

请注意,这种形式的 session 跟踪使用最少,因此它可能没有像更常见的 cookie 和 URL 重写机制那样经过严格测试。

关于java - java中如何维护session,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19582505/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com