gpt4 book ai didi

java - 如果 Servlet 在请求处理程序中检查给定的 session 属性,它是否为 "secure"?

转载 作者:行者123 更新时间:2023-12-02 07:09:25 25 4
gpt4 key购买 nike

假设我的 Web 应用程序中有一个 servlet,并且所有用户都需要登录才能执行任何操作。因此,在 getpost 方法中,有一个 if block ,用于通过尝试提取 session 属性来测试用户是否已登录以进行处理请求,如果未登录,else 重定向到登录页面。

考虑到这种情况,入侵者是否可以在不知道密码的情况下操纵系统进入系统?假设密码被硬编码到 servlet 中。如果是的话,他会从哪里开始呢?

最佳答案

我会看http://docs.oracle.com/javaee/5/tutorial/doc/bncbe.html#bncbj以及从该部分链接的有关指定身份验证机制的部分。

另请参阅(在 Stackoverflow 上)Looking for a simple, secure session design with servlets and JSPHow do servlets work? Instantiation, sessions, shared variables and multithreading

简而言之,如果您使用这些页面上描述的机制,则您不需要自己做太多检查 session 属性的事情。您的登录表单可以在需要身份验证的“表单登录”配置中使用。

关于java - 如果 Servlet 在请求处理程序中检查给定的 session 属性,它是否为 "secure"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15724520/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com