关于sessionid的一些问题

最新推荐文章于 2021-07-15 09:53:53 发布
最新推荐文章于 2021-07-15 09:53:53 发布
阅读量441 收藏
点赞数
分类专栏: java web 文章标签: url重写 指定sessionid 使用sessionid 获取sessionid 校验码

最近在做项目的过程中遇到了一个session id相关的问题,场景是这样的:

服务器端向客户端提供了一个登录接口,有用户名,密码,还有验证码。验证码实际上是一个JSP页面,代码如下:

<%@page import="com.kunlunsoft.jn.action.login.LoginVerifyAction"%>
<%@page import="com.kunlunsoft.jn.utils.VerifyCodeUtil"%>
<%@ page language="java" contentType="text/html; charset=GBK"
    pageEncoding="GBK"%>
<%
	String verifyCode = VerifyCodeUtil.createColor(request, response);
	session.setAttribute("VERIFYCODE", verifyCode);
	out.clear();
	out = pageContext.pushBody();
%>

 在上述JSP页面中,把验证码存储到session中,校验时就从session获取校验码,和客户端上送的校验码进行比较。现在出现一个问题是,从session中获取不到校验码,因为JSP和后台不是同一个session,怎么办呢?

我的方法是使用url重写,如:

http://localhost:8084/ICServer/verifycode.jsp;jsessionid=846BE41ACE68E5F553DF5D9EF331267B

但是这也不好使,因为浏览器会从cookie中去sessionid然后上送到服务器。所以,我禁用了浏览器的cookie就ok了

 

禁用cookie之后,url中指定的sessionid就生效了

 

调皮的芋头
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站防止非法用户登录的session方式实现
zhulike2011的专栏
10-18 7143
网站都有一个防止非法用户直接登录的session方式被十分普遍地采用,并且可以将用户的登录信息保存一段时间,session方式是一种比较方便安全的登录检查方式,由于session是存放在服务器端的,所以就基本不用担心登录信息被本地用户获得,当然类似于密码之类的比较重要的信息千万不要用session保存,比较session数据其实也和cookie一样,只不过它是放在服务器端的而已。
spring session的简单实用,以及session使用中的几个小的问题sessionId
weixin_43554759的博客
06-16 711
spring-session的简单实用; 使用中的简单例子 使用中的问题,以及需要注意的几个点。
Oracle v$PROCESS
小楼一夜听春雨,深巷明朝卖杏花
08-16 4120
v$session/V$PROCESS视图简介 (这篇博客是对别人博客的借鉴,加上自己的理解整理出来的)   服务器进程概念: Oracle的服务器进程有Oracle实例自动创建,用来处理连接到实例的客户端进程发出的请求,用户必须通过连接到Oracle的服务器进程来获取数据库中的信息。对于专用服务器模式(建库时默认),客户端进程和Oracle服务器进程是一一对应的,新增一个服务器进程,大约...
分布式下session认证出现的问题使用spring session解决
关注菜菜的后端私房菜,获取更多技术干货~
07-15 576
分布式下session认证存在的问题 session认证: 客户端在服务端登录认证后,服务端自己保存用户信息,并把session_id放到客户端的cookie中,下次客户端带着cookie访问服务端就可以直接访问 这种session认证在分布式下会存在问题 无法访问其他相同模块的集群服务器 因为只在一个服务端上保存信息,其他相同的集群服务器没保存 无法访问其他模块的服务器 因为其他模块的服务器上未保存信息,所以无法访问 解决方案 session复制 只需要改tomcat配置文件 占服务
sessionId详解
weixin_30546933的博客
04-08 923
  sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。服务端在创建了Session的同时,会为该Session生成唯一的sessionId,而sessionId会在随后的请求中会被用来重新获得已经创建的Session;Session被创建之后,就可以调用Session相关的方法往Session中增加内容了,而...
ASP.NET WebService中使用ASP.NET_SessionId问题说明
10-28
使用ASP.NET WebService时,有时会遇到与ASP.NET_SessionId相关的问题,尤其是在涉及会话状态管理的情况下。 ASP.NET_SessionId是一个由ASP.NET生成的唯一标识符,用于跟踪用户的会话状态。在用户首次访问网站或...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
微信小程序sessionid不一致问题解决
01-20
在微信小程序开发中,经常会遇到由于`sessionID`不一致导致的登录状态丢失问题,这主要是因为微信小程序的网络请求机制以及服务器端的会话管理方式。本文将深入解析这个问题,并提供解决方案。 首先,理解`session...
URL中允许携带sessionid带来的安全隐患分析
10-28
很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。
客户端与服务器端的认证方式(cookie,token,session)
sun0322
08-13 3829
■参照 ===== https://blog.csdn.net/sxzlc/article/details/103450258 9.客户端与服务器端的认证方式 ===== 最基本的方式,使用密码直接登录,这里就不说了 方式1:cookie 第一次访问的服务Web A生成一个sessionid并且存入cookie中。 第二次访问的是服务Web A,客户端会在cookie中读取sessionid加入到请求头中。 cookie保存位置 ・win10 IE C:\Users\userNam.
oracle审计
cjllyl654321的博客
07-18 152
1.sys用户审计 SQL> alter system set audit_sys_operations=true scope=spfile; --启用操作系统审计 System altered. S...
关于浏览器访问服务器 sessionid的东西
fu_jian_feng的博客
04-05 1万+
昨天快下班了,公司的小美女开发翟L,问了一个问题:“保存sessionid的cookie是什么时候创建的??”。我想了半天:知道session的用法,以及session的生命周期(第一次调用,requset.getsession(true)时创建);也知道cookie的用法;也知道session其实是基于cookie的;但是“保存sessionid的cookie是什么时候创建的??”,有个现象:浏...
通过session来拦截不合法用户请求
huangshulan的博客
03-08 1940
有两种方法,但是这两种方法都是基于Struts2.0的 方法1: 在web点xml中插入   UserFilter xxx.xxx.xxx.UserValidateFilter      UserFilter /admin/*   然后创建一个包(包名自取)遇上面的filter-class相互统一,在包内创建UserValidat
服务器判断客户端的用户名和密码(token的身份验证)
wangkeke1996的博客
08-16 1万+
 HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下,解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次...
小程序:授权、登录、session_key、unionId
热门推荐
少东的博客
05-24 9万+
微信应用的一个很大的优势就在于使用过程中是不需要进行注册和显式登录的,大部分问题基本上可以一键解决。但是在授权、登录和获取用户信息的过程中都发生了哪些事情,今天我们就来讨论一下。这篇文章主要分析以下几个问题:授权和登录的意义session key 的作用unionId 的作用,有哪些获取途径在应用中如何保存用户登录态1. 授权和登录的意义首先必须要明白,授权和登录实际上是两个操作。1.1 授权 那...
sessionID是如何在客户端和服务器端传递的?
qq_38209957的博客
06-06 2887
sessionID是如何在客户端和服务器端传递的? 服务器初次创建session的时候后返回session到客服端(在返回头(response)中有setCookie),浏览器会把sessionname->sessionid存到cooike中,同path下再次请求服务器时,会自动在请求头中带上cooike信息,服务器可以在_COOKIE中得取到想要的session 引言: 我们都知道HTTP...
cookie sessionid
最新发布
05-05
Cookie和SessionID都是Web应用中用于跟踪用户身份的一种机制。 Cookie是服务器发送给客户端的一小段文本,包含了一些关于用户的信息,如用户ID、登录状态等。当用户访问同一个网站时,浏览器会自动向服务器发送这些信息,服务器通过这些信息来识别用户身份。 SessionID是服务器为每个用户生成的一个唯一标识符,用于跟踪用户的会话信息。当用户访问服务器时,服务器会创建一个新的SessionID,并将其存储在服务器端,同时将SessionID发送给客户端的浏览器。浏览器在后续的访问中会将SessionID包含在请求头中发送给服务器,服务器通过SessionID来识别用户身份,并保存用户的会话信息。 通常情况下,Cookie和SessionID都是用于实现用户身份验证和会话管理的重要工具。但是,它们的使用也可能会引发安全问题,比如会话劫持、Cookie欺骗等攻击。因此,在开发Web应用时,需要注意对Cookie和SessionID使用进行安全性评估和风险管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值