一、方案一
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。
javaweb程序强制更新JSESSIONID的方法
/**
* 重置sessionid,原session中的数据自动转存到新session中
* @param request
*/
public static void reGenerateSessionId(HttpServletRequest request){
HttpSession session = request.getSession();
//首先将原session中的数据转移至一临时map中
Map<String,Object> tempMap = new HashMap();
Enumeration<String> sessionNames = session.getAttributeNames();
while(sessionNames.hasMoreElements()){
String sessionName = sessionNames.nextElement();
tempMap.put(sessionName, session.getAttribute(sessionName));
}
//注销原session,为的是重置sessionId
session.invalidate();
//将临时map中的数据转移至新session
session = request.getSession();
for(Map.Entry<String, Object> entry : tempMap.entrySet()){
session.setAttribute(entry.getKey(), entry.getValue());
}
}
PHP重置sessionid的方式参见:http://huangqiqing123.iteye.com/blog/1891051
参考文章:https://blog.csdn.net/u013160024/article/details/53838379
二、方案二:(个人认为不太安全,建议使用方案一。)
import javax.servlet.http.HttpServletRequest;
import org.apache.commons.lang.StringUtils;
import org.springframework.session.Session;
import org.springframework.session.SessionRepository;
public class HttpSessionToken {
/**
* 刷新sessionId
* @param request
* @return
* @throws Exception
*/
public static Session verificationAndSetSession(HttpServletRequest request) throws Exception{
String token = request.getHeader("token");
@SuppressWarnings("unchecked")
SessionRepository<Session> sessionRepository = (SessionRepository<Session>) request.getAttribute(SessionRepository.class.getName());
if(sessionRepository ==null ){
return null;
}
if(StringUtils.isBlank(token)){
return sessionRepository.createSession();
}else{
Session session = sessionRepository.getSession(token);
if(session==null){
return sessionRepository.createSession();
}else{
return session;
}
}
}
}