java web 登录后更新JSESSIONID

最新推荐文章于 2024-02-01 11:40:10 发布
最新推荐文章于 2024-02-01 11:40:10 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: java语言

一、方案一

登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。

 

javaweb程序强制更新JSESSIONID的方法

/** 
 * 重置sessionid,原session中的数据自动转存到新session中 
 * @param request 
 */  
public static void reGenerateSessionId(HttpServletRequest request){  
      
    HttpSession session = request.getSession();  
      
    //首先将原session中的数据转移至一临时map中  
    Map<String,Object> tempMap = new HashMap();  
    Enumeration<String> sessionNames = session.getAttributeNames();  
    while(sessionNames.hasMoreElements()){  
        String sessionName = sessionNames.nextElement();  
        tempMap.put(sessionName, session.getAttribute(sessionName));  
    }  
      
    //注销原session,为的是重置sessionId  
    session.invalidate();  
      
    //将临时map中的数据转移至新session  
    session = request.getSession();  
    for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
        session.setAttribute(entry.getKey(), entry.getValue());  
    }  
}

PHP重置sessionid的方式参见:http://huangqiqing123.iteye.com/blog/1891051

 

参考文章:https://blog.csdn.net/u013160024/article/details/53838379

 

 

二、方案二:(个人认为不太安全,建议使用方案一。)

import javax.servlet.http.HttpServletRequest;
import org.apache.commons.lang.StringUtils;
import org.springframework.session.Session;
import org.springframework.session.SessionRepository;

public class HttpSessionToken {
	
	/**
	 * 刷新sessionId
	 * @param request
	 * @return
	 * @throws Exception
	 */
	public static Session verificationAndSetSession(HttpServletRequest request) throws Exception{
		String token = request.getHeader("token");
		
		@SuppressWarnings("unchecked")
		SessionRepository<Session> sessionRepository = (SessionRepository<Session>) request.getAttribute(SessionRepository.class.getName());
		if(sessionRepository ==null ){
			return null;
		}
		if(StringUtils.isBlank(token)){
			return sessionRepository.createSession();
		}else{
			Session session = sessionRepository.getSession(token);
			if(session==null){
				return sessionRepository.createSession();
			}else{
				return session;
			}
		}
	}
}

 

狂奔的蜗牛Evan
关注
专栏目录
java session 修改_修改 Servlet 的sessionId
weixin_31205717的博客
02-21 1814
默认情况在Servlet的sessionId是通过浏览器的Cookie来得到了,现在想从http://localhost:8080/test?jsessionid=ffffxxxxwwwwwww这种方式来得到jsessionId如果url中有就以url中的jsessionId为主,如果没有则取Cookie中的JSESSIONID,但在Servlet中并没有直接可以重新设置JSESSIONID的地方...
java jsessionid_关于JSESSIONID
weixin_32157619的博客
02-21 1467
好久没写博客了,一直没什么好写的,最近碰到JSESSIONID这个问题,网上的说法有点模糊,特别是什么时候会出现URL重写这个问题,有些说客户端禁用Cookie,有些说第一次访问,这里总结一下JSESSIONID是什么老实说一开始看到这个有点懵,写Java这么久没看过这东西。首先,JSESSIONID是一个Cookie,Servlet容器(tomcat,jetty)用来记录用户session。什么...
用户登录成功重新获取Session
拿着键盘当钢琴的博客
04-15 6401
漏洞修复:Session会话登录前后无变化问题这个漏洞意思是说用户登录系统前后Session变化,就是JSESSIONID没有改变所以要在用户登录成功后在Filter(拦截器)或者登录Action里加入以下代码:HttpServletRequest request = ServletActionContext.getRequest(); //获取Session HttpSession sessi...
Cookie(Secure和HttpOnly属性) JSESSIONID
Mr.Chen的博客
01-03 4313
目录 一:Cookie(Secure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 一:Cookie(Secure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出...
java获取客户端请求中cookie中的sessionId,销毁session重新建立sessionId
热门推荐
Li_Zhongxin的博客
07-28 1万+
import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; impor...
解决java后台登录前后cookie不一致问题
08-31
这个方案是通过JavaScript在登录页面上删除名为JSESSIONID的Cookie,这样可以确保用户登录后客户端的Session ID与服务器端的Session ID不同。但这种方法只是临时解决了表面现象,没有从根本上解决问题。因为每次...
java点击登录跳转页面_Java WEB 第8章 登录功能实现-登录成功跳转主页面
weixin_32520095的博客
02-12 3284
第8章 登录功能实现-登录成功跳转主页面8.1涉及的技术知识点1) Session会话 CookieJSTL标签8.2Cookie1) HTTP是无状态协议,服务器不能记录浏览器的访问状态,也就是说服务器不能区分中两次请求是否由一个客户端发出。这样的设计严重阻碍的Web程序的设计。如:在我们进行网购时,买了一条裤子,又买了一个手机。由于http协议是无状态的,如果不通过其他手段,服务器是不...
java web 登录机制_Java Web(三) 会话机制,Cookie和Session详解
weixin_30752995的博客
02-16 252
很大一部分应该知道什么是会话机制,也能说的出几句,我也大概了解一点,但是学了之后几天不用,立马忘的一干二净,原因可能是没能好好理解这两种会话机制,所以会一直遗忘,一直重新回过头来学习它,今天好好把他总结一下,借鉴该文章中的内容,因为我觉得该篇文章确实写的很不错,解答了我很多疑问,特点是对cookie和session的理解,其中的会员卡的例子,真是一针见血的奇效。我按照自己的思路来重新整理一份,给自...
java web 开发
zhaohuodian的博客
08-09 329
为什么 Servlet 规范会有两个包,javax.servlet 和 javax.servlet.http ,早先设计该规范的人认为 Servlet 是一种服务模型,不一定是依赖某种网络协议之上,因此就抽象出了一个 javax.servlet ,同时在提供一个基于 HTTP 协议上的接口扩展。很多Web框架是从实际的Web项目抽取出来的,仅和Web的请求和响应处理有关,形成一个基础,在开发别的应用项目的时候则可以从这个剥离出来的基础做起,让开发者更关注更具体的业务问题,而不是Web的请求和响应的控制。..
登陆后sessionId一直更新
tcllxxl的博客
08-04 490
前端用的React,原因是fetch函数跨域设置 原文:https://www.cnblogs.com/wonyun/p/fetch_polyfill_timeout_jsonp_cookie_progress.html fetch option 添加一下属性: credentials: ‘include’, // include, *same-origin, omit
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6512
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
每次请求接口,jsessionId都要变化的解决方案
weixin_38122772的博客
08-29 1万+
因为跨域请求是不会发送cookie等用户认证凭据的到服务端的,每次请求服务端都不能拿到之前的jsessionId,会认为这是一个全的请求,所以重新生成了一个jsessionid。 首先,客户端要开放传输cookie的认证: XHR请求 var xhr = new XMLHttpRequest(); xhr.open('GET', 'http://example.com/', true); xh...
Java动态修改用户Session实战-简单实例准备
java1234的博客
02-01 1091
服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务器发请求的时候,都带上这个“身份标识”。返回用户信息,同时我们看到,请求的时候带了Cookie里的SessionId,去后端查询指定Session信息;,引入一个web依赖即可;
java 后台自动刷请求_Java Web 开发 (6) servlet 状态持续与自动刷
weixin_35511255的博客
02-28 669
笨老肥 - 最后修改时间:2009-11-26点击这里,了解:安装JDK、Tomcat、中文编码问题(这里涉及的所有源文件及 Tomcat 均采用 utf-8 编码)点击这里,了解:简单配置Tomcat、servlet 模版、如何运行 servlet点击这里,了解:用于各例程的servlet 工具类 ServletUtil.java一、处理耗时较长的任务如果 servlet 或 JSP 页面执行一...
HTTP Session工作原理的简单介绍
caoguanling2011的专栏
11-13 893
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。  服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。  我们看到,HTTP协议本身并不能支持服务端保存客户端的状态
Java操作session
凉茶铺的博客
12-31 7673
介绍了如何通过Java操作session,对其方法进行了详细的解释说明。
会话管理session
weixin_51599093的博客
10-21 895
cookie,session,过滤器
java web项目的登录接口怎么做
最新发布
09-11
Java Web项目中,实现一个登录接口通常涉及以下几个步骤: 1. 创建用户模型(User Model):定义用户的数据结构,包括用户名、密码等基本信息。在Java中,通常会有一个对应的Java类来表示这个模型。 2. 数据库设计:在数据库中创建一个用户表,用于存储用户信息。这个表需要包含用户名、密码、以及其他可能需要的字段(如邮箱、手机号等)。 3. 创建登录接口(Login Interface):使用Servlet或其他后端框架(如Spring MVC)创建一个用于处理登录请求的接口。这个接口通常会接收用户名和密码作为输入参数。 4. 实现用户认证(User Authentication):在接口中实现用户认证的逻辑。这通常涉及到查询数据库,验证提供的用户名和密码是否匹配,并且密码应该是加密存储的。 5. 设置会话管理(Session Management):如果用户认证成功,需要创建一个会话(Session),将用户身份信息存储在会话中,并将会话标识符(如JSESSIONID)返回给客户端,以便后续请求能确认用户身份。 6. 异常处理:在登录过程中,可能会遇到各种异常情况,如用户名不存在、密码错误等。需要合理处理这些异常,并向用户反馈相应的错误信息。 7. 安全措施:为了保护用户信息,需要使用HTTPS协议来加密传输数据,并且在存储密码时使用哈希加盐(salt)的方式,确保即使数据库被泄露,密码也不容易被破解。 下面是一个简化的登录接口实现示例: ```java @WebServlet("/login") public class LoginServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); // 这里假设UserDao是一个已经定义好的类,用于数据库操作 UserDao userDao = new UserDao(); User user = userDao.findByUsername(username); if (user != null && password.equals(user.getPassword())) { // 密码匹配成功,设置session HttpSession session = request.getSession(); session.setAttribute("currentUser", user); // 跳转到登录成功页面或主页 response.sendRedirect("homepage.jsp"); } else { // 密码不匹配或其他问题,设置错误消息并重定向回登录页面 request.setAttribute("errorMessage", "用户名或密码错误"); request.getRequestDispatcher("login.jsp").forward(request, response); } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值