不同级别用户Session覆盖

最新推荐文章于 2023-04-21 11:03:36 发布
最新推荐文章于 2023-04-21 11:03:36 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: javaSE 项目获取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jwiang/article/details/50832968
版权

一 现象

系统管理员登陆


同一浏览器下登陆厂商管理员用户


由于顶部菜单栏是存在Session中,当浏览前一个系统管理员界面时,点击菜单选项会从后一个登陆的Session中获取菜单栏内容。

二 修正

增加一个拦截器,当Session存在时重定向到Home页面
LoginInterceptor.java 
package jp.co.actoweb.core.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import jp.co.actoweb.core.Constants;

public class LoginInterceptor implements HandlerInterceptor {
	private String homeUrlMapping;

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		HttpSession session = request.getSession();
		if (session != null && session.getAttribute(Constants.SESSION_KEY_AUTH_INFO) != null) {
			response.sendRedirect(request.getContextPath() + getHomeUrlMapping());
			return false;
		}
		return true;
	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
	}

	public String getHomeUrlMapping() {
		return homeUrlMapping;
	}

	public void setHomeUrlMapping(String homeUrlMapping) {
		this.homeUrlMapping = homeUrlMapping;
	}

}
mvc-config.xml中关于该拦截器的配置 
<bean id="loginInterceptor" class="jp.co.actoweb.core.interceptor.LoginInterceptor">
		<property name="homeUrlMapping" value="/admin/home/init.do" />
	</bean>

<mvc:interceptor>
	    	<mvc:mapping path="/**/admin/welcome.do"/>
	    	<ref bean="loginInterceptor" />
	    </mvc:interceptor>
    </mvc:interceptors>




门没锁啊
关注
专栏目录
Websphere多个应用session相互覆盖问题解决办法
weixinhmz的博客
08-01 69
Websphere多个应用session相互覆盖问题解决办法
越权漏洞
weixin_45634365的博客
03-29 923
一、越权漏洞简介 越权漏洞是一种很常见的逻辑安全漏洞,是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权操作(垂直越权)。 水平越权: 相同权限不同用户可以互相访问。 水平越权的测试方法,主要是看能否通过用户A的操作影响到用户B。 垂直越权: 向上操作越权:使用权限用户可以访问到权限用户,或者操作权限的东西。 向下操作越权:
逻辑漏洞--越权漏洞
sinat_36853972的博客
10-13 829
逻辑漏洞–越权漏洞 0x00 漏洞描述 越权访问(Broken Access Control,BAC),指应用在检查授权时存在漏洞,使得攻击者在获得权限用户账号后,利用一些方式绕过权限检查,访问或者操作其他用户或者更权限用户。 越权的成因是因为开发人员在对数据进行增删查改时,对客户端请求的数据过分相信而遗漏了权限的判定,权限验证不当而导致的越权行为。 0x01 漏洞分类 水平越权 水平越权是指攻击者尝试访问与他具有相同权限用户资源。 比如,用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自
同浏览器不同窗口不同用户Session问题
04-10
正对java Web项目,同浏览器同时打开两个登录窗口(不同Tag),用不同用户登录,为避免使用同一个Session,需要使用这段代码。否则先登录的用户Session会变成后登录用户Session.相关系统使用权限也会变。
session覆盖
u011004443的专栏
01-06 2300
我用session保存用户登陆信息,但是一个浏览器如果同时登陆两个账号,后面一个就会覆盖掉前面一个的session,就等于前面登陆的人信息不对了。 问题描述:用户登陆时,用session保存用户的信息,在做淘宝投诉功能时,买家先登陆,然后卖家在登陆,这是在同一台电脑上,实际情况不是这样的。 解决方法: 为了在一台电脑上演示,不同用户可以使用不同的浏览器,例如:买家使用ie登陆,卖家使用火...
java会话技术--03--Session覆盖问题
最新发布
zhou920786312的博客
04-21 776
因cookie冲突导致session丢失,因为8081和8082使用SESSION会话的名称都是JSESSIONID。同一域名,同一个服务,不同的端口,存在session会话覆盖的问题。为不同的应用,设置自己的会话名称。不使用默认的JSESSIONID。一个新的cookie与一个已存在的cookie比较。可以看到 和 8081是不一样的。可以看到8081服务的会话名称是。可以看到8082服务的会话名称是。启动8081和8082。
Session覆盖测试
酷狗直播-锦凡歆的博客
05-28 567
Session覆盖测试 找回密码逻辑漏洞测试中也会遇到参数不可控的情况,比如要修改的用户名或者绑定的手机号无法在提交参数时修改,服务端通过读取当前session会话来判断要修改密码的账 号,这种情况下能否对Session中的内容做修改以达到任意密码重置的目的呢? 在某网站中的找回密码功能中,业务逻辑是:由用户使用手机进行注册,然后服务端 向手机发送验证码短信,用户输入验证码提交后,进入密码重置页...
关于session覆盖
漫步鑫空
07-15 1414
一个javaWeb项目:我用admin用户在本机登陆系统的A主体,然后在另一台机子上也用admin用户登录系统的B主体,登录后为什么在我本机的session中的主体变成了B主体呀?我对比了几个系统,后台代码差不多但其它系统却没这问题,而且在WebLogic和Tomcat测试都发现这个问题,后面不得已将该系统设置成一个用户不能同时多次登陆。但这不是好的解决办法。望各位爱好者给个建议,谢谢!...
Java设置session超时的几种方式总结
08-30
这可以覆盖服务器级别的设置,只对当前Web应用有效。方法是在工程的web.xml文件中添加和服务器级别相同格式的配置: ```xml <session-config> <session-timeout>15</session-timeout> </session-config> ``` 这里...
JavaWeb Session失效时间设置方法
08-31
它允许开发者在用户不同请求之间保持数据,例如用户的登录状态。然而,为了维护系统的安全性和资源效率,Session通常会有一定的存活时间,超过这个时间就会自动失效。本文将详细介绍如何设置JavaWeb Session的失效...
Python requests模块session代码实例
09-17
Session则是在服务器端存储用户状态的一种方式,通常通过Cookie来关联客户端的会话。 在requests库中,`Session`对象扮演着重要的角色。以下是一个简单的使用Session发送请求并保持Cookie的代码示例: ```python...
python3+requests接口自动化session操作方法
09-20
`requests.Session()` 是`requests`库提供的一个类,它维护了一个会话级别的HTTP连接。当我们创建一个`Session`实例,比如`s = requests.Session()`,这个会话可以保持某些设置(如超时、代理、Cookie等)和TCP连接...
用 ThreadLocal 管理用户session
FREEDOM
12-19 1122
早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。 ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLocalVari
不同用户窗口具有不同session_用户生命5阶段,运营方式各不同
weixin_39944074的博客
12-08 468
本文是【智能用户运营】系列第 7 篇搭建起了用户运营体系,我们就要开始对用户进行针对性的运营,用户处于不同生命周期的阶段相应的运营重点也不同,只有针对性的运营,才能促进各生命周期用户实现最大价值。比如针对激活阶段的用户,我们希望通过一些正确的引导,促进用户完成注册、首次发布等动作;而在转化阶段,我们需要通过运营动作,促使用户多次完成我们预期的目标并产生价值,比如下载产品、下单、发布内容等;而在提...
不同用户之间session内容互相冲突
czllfy
03-12 2181
现象是:     A用户在1.jsp页面中访问数据库,返回的是一个对象,用下面这种办法:     session.setAttribute("obj",myobj);     把这个对象放到session中。然后在2.jsp中用     MyObjects   obj=(MyObjects)session.getAttribute("obj");     方法得到这个对象,再从中取值。 ...
如何区分不同用户——Cookie/Session机制详解
wuyepiaoxue789的博客
07-04 484
https://www.cnblogs.com/zhouhbing/p/4204132.htmlhttps://www.cnblogs.com/xdp-gacl/p/3855702.html
session覆盖 多帐户
vivus
10-30 343
IE6是每新开一个窗口一个session,基本一定不会串 IE7是同一个窗口里面多个Tab页共享一个Session,同窗口的会串 IE8是所有窗口所有标签Tab页共享一个session,除非是用那个文件菜单新开会话打开窗口则独立session FireFox和Chrome则缺省就是所有窗口所有Tab共享一个Session。 360是同一个窗口里面多个Tab页共享一个Session不同窗口...
Java_获取两个日期中间的日期
jiangminyan的博客
05-23 1101
private List dateSplit(Date startDate, Date endDate) throws Exception { if (!startDate.before(endDate)&&startDate.compareTo(endDate)==1){ throw new Exception("开始
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值