8 Stimmen

Bozho avatar

Wie setzt man JSESSIONID zurück?

Gefragt el 29 de Januar, 2011
Wann wurde die Frage gestellt
12190 Ansichten
Anzahl der Besuche der Frage
4 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Es gilt als gute Sicherheitspraxis, das Sitzungscookie zurückzusetzen, wenn sich ein Benutzer authentifiziert.

Wie macht man das mit Java?

Mein bisheriger Versuch ist erfolgreich, aber ich frage mich, ob es einen besseren Weg gibt:

public static HttpSession resetSessionId(HttpSession session, 
      HttpServletRequest request) {
    session.invalidate();
    session = request.getSession(true);
    return session;
}
Gefragt el 29 de Januar, 2011 von Bozho

Antworten

Zu viele Anzeigen?

4voto

cherouvim avatar
cherouvim Punkte 31201

Ich übergebe nur die Anfrage, von der ich die Sitzung erhalte. Wenn eine Sitzung noch nicht existiert, macht es keinen Sinn, eine zu erstellen, nur um sie dann ungültig zu machen. Dies gilt auch, wenn die Sitzung gerade vom Container erstellt wurde (aufgrund der ersten http-Anfrage des Benutzers direkt auf dem Anmeldeformular).

public static ... (HttpServletRequest request) { 
    HttpSession session = request.getSession(false);
    if (session!=null && !session.isNew()) {
        session.invalidate();
    }
Beantwortet el 29 de Januar, 2011 von cherouvim (31201 Punkte )

2voto

darioo avatar
darioo Punkte 45156

Ihre Antwort scheint optimal zu sein. Eine andere Möglichkeit wäre, die Köchinnen und Köche direkt auf diese Weise zu manipulieren:

 Cookie cookie = new Cookie ("JSESSIONID", "randomValue");
 cookie.setMaxAge( 0 );

Sie erstellen also ein neues Cookie mit demselben Namen und lassen es sofort ablaufen, aber ich nicht empfehlen diesen Weg zu gehen, da Ihre viel sauberer und ziemlich offensichtlich für jeden, der mit grundlegenden Servlet-APIs vertraut ist.

Beantwortet el 29 de Januar, 2011 von darioo (45156 Punkte )

2voto

MartinGrotzke avatar
MartinGrotzke Punkte 1301

Tomcat (seit 6.0.24 AFAIK) kann die sessionId bei der Authentifizierung automatisch ändern - solange Sie Standard-Servlet-Authentifizierungsmechanismen verwenden (einfache, formularbasierte Authentifizierung). Dies kann über changeSessionIdOnAuthentication für das Basic Authenticator Valve konfiguriert werden: http://tomcat.apache.org/tomcat-6.0-doc/config/valve.html

Beantwortet el 29 de Januar, 2011 von MartinGrotzke (1301 Punkte )

1voto

Ritesh avatar
Ritesh Punkte 7322

Eine andere Möglichkeit (nicht die bessere) ist der Aufruf von 'changeSessionId(existingSession)' von org.apache.catalina.session.StandardManager was die Sitzungs-ID der aktuellen Sitzung in eine neue, zufällig generierte Sitzungs-ID ändert.

Sie müssen StandardManager Mbean verwenden, um diese Methode aufzurufen. Siehe bitte Tomcat MBeans

Pseudo-Code:

ObjectName contextObjectName = new ObjectName("Catalina:type=Manager,path=/whatever,host=whateverhost");

mbeanServer.invoke(contextObjectName, "changeSessionId", new Object[]{session}, new String[]{"javax.servlet.http.HttpSession"});

Beantwortet el 30 de Januar, 2011 von Ritesh (7322 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X