gpt4 book ai didi

java - 在 JSF 中生成自己的 session ID

转载 作者:行者123 更新时间:2023-12-02 00:35:58 24 4
gpt4 key购买 nike

我有一个使用 JSF 框架的 Web 应用程序。我一直在深入研究 Web 应用程序的安全部分,因此我希望生成自己的唯一 session ID(使用加密算法并将其分配给用户登录后创建的每个新 session 。

任何人都可以指导我如何在 session 中设置手动生成的 session ID,并确保每个请求都传输 session ID。

谢谢。

最佳答案

我真的怀疑您会生成比容器生成的 session ID 更安全的 session ID,但您可以在不使用任何特定于容器的扩展的情况下执行以下操作。

创建一个 servlet 过滤器来拦截对服务器的每个请求。

当请求到来时,检查该请求的 session 是否已存在(使用getSession(false))。如果存在,则从请求中提取您的特定 cookie MY_SESSION_ID,并将其值与存储在 session 中的值进行比较。如果不匹配,则拒绝请求。

如果 session 不存在,则创建它(使用getSession(true)),生成 super 安全 session ID,将其存储为 session 属性,并将 cookie MY_SESSION_ID 添加到回应。

这具有自动创建 session 的缺点,即使不是严格需要的。但在使用组件框架的 JSP 时大多数情况都是这样。

关于java - 在 JSF 中生成自己的 session ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7817431/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com