用户登录成功后重新获取Session

最新推荐文章于 2024-03-09 21:38:20 发布

chenjy28

最新推荐文章于 2024-03-09 21:38:20 发布

阅读量6.4k

点赞数 3

分类专栏： Java

本文链接：https://blog.csdn.net/chenjy28/article/details/79947652

版权

Java 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

漏洞修复：Session会话登录前后无变化问题

这个漏洞意思是说用户登录系统前后Session变化，就是JSESSIONID没有改变

所以要在用户登录成功后在Filter（拦截器）或者登录Action里加入以下代码：

HttpServletRequest request = ServletActionContext.getRequest();
//获取旧Session
HttpSession session = request.getSession(false);
System.out.println("------------>旧session：" + session.getId());
//清空session
session.invalidate();
//重新获取session
session = request.getSession(true);
System.out.println("------------>新session：" + session.getId());
//将登录的用户保存到新Session
session.setAttribute(SysProperties.LOGIN_OBJECT, loginObject);

打印结果：

------------>旧session：45E48C020751A402A5AE5B7FDEC41B5A
------------>新session：EDE76FBC7D9DBF7CABC0ED025B350131

这里要说的重点是request.getSession()参数True和False的区别：
request.getSession(true)：若存在会话则返回该会话，否则新建一个会话。

request.getSession(false)：若存在会话则返回该会话，否则返回NULL。

这里还有一个题外话，就是如果清除Cookie：

//获取cookie
Cookie cookie = request.getCookies()[0];
//让cookie过期
cookie.setMaxAge(0);

不过清除Cookie后要及时新建Session，否则会报错。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

chenjy28

关注关注

3
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

会话固定漏洞，注销后重新生产Session ID

localhost

03-24

337

在注销的代码最后增加： request.getSession().invalidate();

session.js, Session.js 获取用户会话信息.zip

09-18

session.js, Session.js 获取用户会话信息 Session.js提供有关当前会话的信息。要使用：包括文件 session.js, 然后访问访问者对象。它使用google加载器获取位置数据。对于异步加载，请使用 window.session_loaded 回调。Live示例

参与评论您还未登录，请先登录后发表或查看评论

java web 登录后更新JSESSIONID

menghuanhuolong6的专栏

08-25

1203

登录前的请求一般都是http的，http是不安全的，假设用户登录前的JSESSIONID被人取得，如果登录后不变更JSESSIONID的话，即使登录请求是https的，该用户仍然会被他人冒充。 javaweb程序强制更新JSESSIONID的方法 /** * 重置sessionid，原session中的数据自动转存到新session中 * @param reques

接口-用户登录，返回session

weixin_30478923的博客

05-15

722

# 2、参照接口文档上 # http://doc.nnzhp.cn/index.php?s=/6&page_id=12 登录接口 # 登录成功之后，返回seesionid，用户登录时间 # sessionid # 用户名+当前的时间戳 md5，seesion失效时间是60分钟 # sessionid:niu...

登陆后sessionId一直更新

tcllxxl的博客

08-04

490

前端用的React，原因是fetch函数跨域设置原文：https://www.cnblogs.com/wonyun/p/fetch_polyfill_timeout_jsonp_cookie_progress.html fetch option 添加一下属性： credentials: ‘include’, // include, *same-origin, omit

登陆以后通过session获取登录信息

zhang1278851469的博客

03-19

2605

框架session获取登录信息 SysUser user = ShiroUtils.getSysUser(); Long id = user.getUserId();

php同时使用session和cookie来保存用户登录信息的实现代码

10-22

- 在用户登录成功后，通过session_start()函数启动会话，并将用户信息存储在$_SESSION全局数组中。 - 使用session_regenerate_id()函数可以更新session id，提高安全性，避免session劫持。 - session_destroy()...

Yii框架用户登录session丢失问题解决方法

10-20

然而，在某些情况下，session可能会丢失，导致用户身份无法正确传递，表现为用户登录后再次访问时仍然需要重新登录。这可能是由多种因素引起的，包括但不限于： 1. session存储配置不当：默认情况下，Yii使用文件...

Django Session和Cookie分别实现记住用户登录状态操作

09-16

在Web开发中，保持用户登录状态是一个常见的需求。在Django框架中，有两种主要方法可以实现这一功能：Django Session和Cookie。理解这两者的工作原理和如何在Django中使用它们至关重要。首先，让我们深入了解...

PHP cookie，session的使用与用户自动登录功能实现方法分析

10-16

当用户首次登录成功后，服务器会生成一个包含用户身份信息的安全Token（如哈希过的用户ID），并设置为Cookie。当用户下次访问时，服务器检查这个Cookie，如果验证通过，就无需用户再次输入登录信息，直接将用户视为...

使用session实现用户登录共4页.pdf.zip

11-19

当用户访问网站并登录后，服务器会为该用户创建一个唯一的Session ID，并将其存储在服务器端。同时，服务器会将这个Session ID发送给客户端，通常通过一个名为`JSESSIONID`的Cookie。每当客户端发送请求时，都会携带...

Session登陆实践

最新发布

goat的博客

03-09

1350

假如我们的服务端是分布式的，也就是有多台服务器同时提供服务，假如在用户登陆请求发送到服务器A，服务器A保存了；突然服务器A宕机，接下来当前用户的所有请求将要发送到服务器B，但此时服务器B中没有当前保存当前用户的登陆态，显然单机Session登陆不太适合分布式下的用户登陆。单机模式下，不同的Session对象都被保存在同一个服务器中，服务器根据保存在用户浏览器Cookie中的SessionId查找Session对象。对象，并将其与请求关联。关注一手等待后续更新更多干货🚀。

登陆中session的处理

weixin_33922672的博客

11-21

163

在学校中的登陆注册使用的普通session存储信息，然后就是根据session中获取user是否拥有来判断是否登陆。在一次面试中别人问到了我你们项目的登陆session是怎么一个情况，我这样答的话那太过简单。于是别人我问我如果有多个账号登陆在同一个浏览器中怎么办呢？还需要验证吗？我就蒙了。这是我们公司现在的登陆的一小段代码，我想已经可以说明登陆的实现了。 //登录成功之后清除sess...

HTTP Session工作原理的简单介绍

caoguanling2011的专栏

11-13

893

HTTP协议（http://www.w3.org/Protocols/）是“一次性单向”协议。服务端不能主动连接客户端，只能被动等待并答复客户端请求。客户端连接服务端，发出一个HTTP Request，服务端处理请求，并且返回一个HTTP Response给客户端，本次HTTP Request-Response Cycle结束。我们看到，HTTP协议本身并不能支持服务端保存客户端的状态

HTTP 会话技术（Cookie、Session ）

ONESTARの博客

09-03

2103

目录一、概念二、Cookie 客户端会话技术 1、Cookie 使用步骤 2、实现原理 3、Cookie 特点 4、Cookie 共享问题三、Session 服务器端会话技术 1、获取 HTTPSession 对象 2、session 特点 3、Session 会话原理 4、Session 共享问题 5、session 销毁时间四、Cookie 和 session...

Java SessionID漏洞分析处理

岁月沉淀，积累财富

11-13

1860

一般我们在实际项目当中经常出现黑客，在js方式获取我们在浏览器当中存储的cookie资料，绕开登录并登录主机进行资料的访问；一帮有以下两种方式，防止此类事情发生： 1.在登录后重置sessionID 在登录验证成功后，通过重置session，是之前的匿名sessionId失效，这样可以避免使用伪造的sessionId进行攻击。代码如下 protected void doPos

如何使用session获取登录用户的信息

热门推荐

幻想的天空

07-15

3万+

1.你必须在登录成功时候，获取用户对象及user,然后把这个对象放入session中，以后用该对象直接从session中获取就行。不过session失效后，该用户就被清空了。 2.代码 Map <String, Object> session = ActionContext.getContext().getSession(); User user = 获取用户 session.put...

session不断在变化

SZStudy的博客

10-22

1495

将部分数据缓存到session中，但是无法获取出来。调试的时候发现，session不断在变化。经过查资料，发现：IP相同认为是同一个域,接收了B的set-cookie指令,把对应的cookie内容覆盖了,其中包括sessionid,造成A的session丢失。如果 IP不同,则不会发生这个问题。IP相同的两个session对应的cookie是一样的，而不幸的是sessionID就保存在cookie中，这样先访问A，再访问B的时候，B的sessionid会覆盖A的sessionid。这个事情没办法解决，.

登录成功的用户信息存储在Session

09-19

### 回答1：中，可以通过在服务器端设置Session来实现。在用户登录成功后，服务器会生成一个Session ID，作为该用户的唯一标识，并将该ID存储在Session中。接下来，每次用户请求服务器时，服务器都会检查用户请求中是否包含Session ID，如果有，则从Session中获取该用户的信息进行处理。在用户退出登录或Session过期时，服务器会删除对应的Session信息。在Java中，可以使用HttpSession类来实现Session管理。 ### 回答2： Session是一种在服务器端存储用户信息的机制。在用户成功登录后，服务器会在内存中创建一个唯一的Session对象，并为该用户分配一个唯一的Session ID。用户的登录信息会被存储在该Session对象中。 Session通过使用Cookie来维护与用户的关联，当用户登录成功后，服务器会将Session ID以Cookie的形式发送到客户端的浏览器中。浏览器在下次请求服务器时，会自动将该Cookie带上，从而服务器可以根据Session ID来找到对应的Session对象，从而获取用户的登录信息。存储在Session中的用户信息可以包括用户的身份标识、用户名、权限等。这些信息在用户每次发送请求时都可以被服务器获取和使用，从而实现对用户的身份认证和权限控制。比如，在用户访问某个需要登录权限的页面时，服务器可以通过Session中的用户信息判断用户是否具有访问权限。 Session的数据存储在服务器端，相对于客户端的Cookie来说，更加安全。因为用户无法直接修改Session中的数据，只能通过与服务器的交互来操作。需要注意的是，Session在用户退出登录后会被销毁，或者在一定时间内没有活动时会被服务器自动清理。因此，Session具有一定的时效性和安全性，可以有效地保护用户的登录信息。 ### 回答3： Session 是一种在服务器端存储用户信息的机制。当用户在网站登录成功后，服务器会为该用户创建一个对应的 Session 对象，并在该对象中存储用户的相关信息。这些信息可以包括用户的用户名、角色、权限等。 Session 的存储方式可以是内存、数据库或者文件，具体使用哪种方式取决于服务器的配置。当用户进行其他操作时，如访问其他页面或提交表单，服务器会通过 session ID 来识别该用户，并从 Session 存储的位置中获取相应的用户信息。由于 Session 是存储在服务器端的，相比于存储在客户端的 Cookie，它更加安全，因为用户无法直接修改其中的信息。而且，由于存储在服务器端的 Session 是通过 session ID 来识别用户的，因此浏览器即使被关闭，用户下次重新访问网站时仍然可以保持登录状态，不需要重新进行登录操作。然而，使用 Session 也存在一些问题。首先，如果网站访问量很大，Session 对服务器的内存消耗是比较大的，因为每个登录的用户对应都有一个 Session 对象。此外，如果用户在某些情况下没有主动退出，并且 Session 超时时间较长，那么在这段时间内，即使用户已经离线，服务器仍然需要维护用户的 Session 对象，增加了服务器的负担。为了解决这些问题，可以采用一些方法，如定期清理过期的 Session、将 Session 存储到数据库中、使用集群部署等措施，来提高系统的性能和可靠性。