管理员可以修改任意用户Session的功能实现

最新推荐文章于 2023-06-10 15:58:32 发布
最新推荐文章于 2023-06-10 15:58:32 发布
阅读量569 收藏 2
点赞数
分类专栏: 项目实战 文章标签: java 后端 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuerchong/article/details/123764801
版权

文章目录

1 Session会话简介

session 是另一种记录服务器和客户端会话状态的机制,并且session 是基于 cookie 实现的。服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务器发请求的时候,都带上这个“身份标识”。

Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把该cookie发送给服务器。

简单实例准备

我们做一个简单实例,模拟用户登录,以及获取登录用户信息;
新建一个springboot项目modify-session

启动类ModifySessionApplication:


import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class ModifySessionApplication {

    public static void main(String[] args) {
        SpringApplication.run(ModifySessionApplication.class, args);
    }

}

用户实体类User


public class User {

    public Integer id;

    public String userName;

    private String password;

    private String level="common";  // common  普通会员  vip  vip会员


    public User() {
    }

    public User(Integer id, String userName, String password) {
        this.id = id;
        this.userName = userName;
        this.password = password;
    }

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getLevel() {
        return level;
    }

    public void setLevel(String level) {
        this.level = level;
    }
}

新建一个UserController,提供两个接口方法,分别是模拟用户登录,和获取用户信息:


@RestController
@RequestMapping("/user")
public class UserController {

    /**
     * 模拟用户登录
     * @return
     */
    @RequestMapping("/login")
    public String login(HttpSession session){
        User uesr=new User(1,"java","123456");
        session.setAttribute("currentUser",uesr);
        System.out.println(session.getId());
        return "success";
    }

    /**
     * 获取当前用户信息
     * @param session
     * @return
     */
    @RequestMapping("/getUserInfo")
    public User getUserInfo(HttpSession session){
        return (User)session.getAttribute("currentUser");
    }
}

我们启动项目;

浏览器地址栏输入:http://localhost/user/login
浏览器地址栏输入:http://localhost/user/getUserInfo 获取用户信息

动态修改用户Session场景分析

当前用户自身是可以通过sesssion.setAttribute方法修改session信息的。
但是我们在某些情况,业务上要求非自身用户修改Session;

比如管理员后台充值好vip后,数据是修改了,但是登录用户的Session没变化,用户看到的依然是非Vip,需要重新登录后,才能看到vip信息,用户体验就差劲了;如果我们可以动态的去修改任意一个用户的Session信息,那用户无需登录,刷新网页就立即能看到vip信息,那用户体验就上来了。

动态修改Session原理介绍

我们可以创建一个Session监听器,来监听用户Session的创建和销毁事件,所以这里,我们可以去维护一个sessionId和Session对象关系的存储介质,一般情况下可以用HashMap,正好是key-value键值对,假如高并发情况,也可以存储到告诉缓存Redis,当然对象的话,注意要序列化;

同时每次用户登录后,我们可以得到userId和sessionId,我们也用一个存储介质维护起来,我们这里为了测试方便,用servletContext全局上下文存储,高并发下,依然要选用Redis存储;

有了以上两个核心的存储介质加上session监听器,我们就可以实现动态修改Session了;

具体步骤如下:

第一步:用户登录,得到sessionId和userId;

第二步:把sessionId和userId存储到servletContext全局上下文,格式 { userId : sessionId } ;

第三步:登录请求触发session监听器的sessonCreated方法;

第四步:sessionCreated方法添加session信息到HashMap,格式 { sessionId : session对象 } ;

第五步:管理员登录,根据userId去servletContext查询sessionId;

第六步:得到sessionId后去hashMap里去查询session对象;

通过以上步骤,得到指定用户的Session对象后,就可以任意操作了;

动态修改Session实现

我们来实现下具体代码:

我们定义一个自定义session上下文MySessionContext,里面定义HashMap属性来存储session信息,格式 sessionId :session对象;


public class MySessionContext {

    private static MySessionContext instance;
    // session map存储session  如果session较多,影响到系统性能的话,可以把用redis,key-value  sessionId->session对象 session对象序列化
    public static HashMap<String,HttpSession> sessionMap;

    private MySessionContext() {
        sessionMap = new HashMap<String,HttpSession>();
    }

    /**
     * 单例
     * @return
     */
    public static MySessionContext getInstance() {
        if (instance == null) {
            instance = new MySessionContext();
        }
        return instance;
    }

    /**
     * 添加session
     * @param session
     */
    public synchronized void addSession(HttpSession session) {
        if (session != null) {
            System.out.println("session添加成功!");
            sessionMap.put(session.getId(), session);
        }
    }

    /**
     * 删除session
     * @param session
     */
    public synchronized void delSession(HttpSession session) {
        if (session != null) {
            System.out.println("session删除成功!");
            sessionMap.remove(session.getId());
        }
    }

    /**
     * 根据sessionId获取session
     * @param sessionID
     * @return
     */
    public synchronized HttpSession getSession(String sessionID) {
        if (sessionID == null) {
            return null;
        }
        return sessionMap.get(sessionID);
    }
}

新建session监听器SessionListener,监听session创建和销毁;

session创建的时候,把session信息存储到自定义session上下文;session销毁时,自定义session上下文中也删除掉该session;

注意,要加@WebListener注解


@WebListener
public class SessionListener implements HttpSessionListener {

    // 获取自定义session上下文实例
    private MySessionContext msc = MySessionContext.getInstance();

    /**
     * session创建事件
     * @param se
     */
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        System.out.println("session创建");
        HttpSession session = se.getSession();
        msc.addSession(session);  // 添加当前session到自定义session上下文
    }

    /**
     * session销毁事件
     * @param se
     */
    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        System.out.println("session销毁");
        HttpSession session = se.getSession();
        //todo 要从数据库或者redis缓存把指定sessionId的用户session信息删除
        msc.delSession(session);  // 从自定义session上下文里删除当前session
    }
}

在springboot项目中,要使得监听器有效,我们启动类要加@ServletComponentScan注解

@ServletComponentScan,自动扫描带有(@WebServlet, @WebFilter, and @WebListener)注解的类,完成注册

修改UserController,通过session获取servletContext上下文,存储用户session信息,格式 { userId : sessionId }

/**
     * 模拟用户登录
     * @return
     */
    @RequestMapping("/login")
    public String login(HttpSession session){
        User uesr=new User(1,"java1234","123456");
        session.setAttribute("currentUser",uesr);
        System.out.println(session.getId());
        ServletContext servletContext = session.getServletContext();
        // 模拟存储用户session信息到数据库 用application模拟
        servletContext.setAttribute(String.valueOf(uesr.getId()),session.getId()); // key-value 用户id-sessionId
        return "success";
    }

创建ManagerController测试:

@RequestMapping("/manager")
@RestController
public class ManagerController {

    /**
     * 模拟用户登录
     * @return
     */
    @RequestMapping("/modifySession")
    public String modifySession(HttpSession session){
        ServletContext servletContext = session.getServletContext();
        String userId="1"; // 修改userId=1的用户
        String sessionId = (String)servletContext.getAttribute(userId);  // 从servletContext上下文 根据userId获取sessionId
        System.out.println("sessionId:"+sessionId);
        HashMap<String, HttpSession> sessionMap = MySessionContext.sessionMap; // 获取sessionMap
        HttpSession currentSession = sessionMap.get(sessionId); // 根据sessionId获取用户session
        User user = (User)currentSession.getAttribute("currentUser"); // 根据session得到用户信息
        user.setLevel("vip"); // 修改内容
        return "success";
    }
}
liu1002880404
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
社会你“小峰哥“用Java实现管理员可以修改任意用户Session功能
【CSDN】
08-12 718
目录 1 Session会话简介 2 简单实例准备 3 动态修改用户Session场景分析 4 动态修改Session原理介绍 5 动态修改Session实现 6 高并发下的性能优化 7 完整源码+配套视频教程分享 8 留了一点小作业 1 Session会话简介 session 是另一种记录服务器和客户端会话状态的机制,并且session 是基于 cookie 实现的。服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2042
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
Linux修改密码
We are all in the gutter, but some of us are looking at the stars.
12-04 314
Linux 修改密码 先进入管理员模式 然后输入 passwd 然后新密码已经更新了 如果更新其他用户的密码
修改session
weixin_44540251的博客
08-07 1597
开发工具与关键技术:MVC 作者:文泽钦 撰写时间:2019年 8月 1 日 修个表格上的数据在layui表单上有,但它只是在页面上作了修个,并没有在控制器里进行数据实际的改变,例如在没有在控制器上写修个的方法,你在页面上修改,它的数据是不会改变的,今天就写修个session里的数据方法,那么我们先看看没有在控制器上写修改方法,只在页面写了修改方法结果是怎样,又如何去判断它没有把...
session的创建,修改,销毁
大猫博客
04-20 851
session详细语法学习 session的创建,修改,销毁 1,无论是创建,修改,还是销毁session,都需要先session_start(); 2,一旦session_start之后,$_SESSION就可以自由的添加,删除,修改 即:当成普通数组一样操作(这一点和cookie不一样,cookie的操作,只能通过setcookie函数来进行)session_start(); $_SES
如何动态修改session
myyataoo的专栏
04-06 1094
有时候远程服务器不允许修改session时长,而且服务器session时长过短,可以通过代码来实现动态修改、保存和恢复。
智睿管理系统修改管理任意密码漏洞后门
09-28
这可以通过检查session变量或者cookie来实现。 2. **使用HTTPS**:为了加强安全性,所有敏感操作(如密码修改)应通过HTTPS协议进行,以确保数据传输过程中的加密。 3. **强化密码策略**:设置复杂的密码策略,...
javaWeb实现学生信息管理系统
08-28
在本项目中,"javaWeb实现学生信息管理系统"是一个基于JavaWeb技术的教育管理应用程序,旨在帮助管理员管理和处理学生信息。以下是对系统实现的关键知识点的详细说明: 1. **技术栈**: - **JSP(JavaServer Pages...
MobaXterm最新版
05-17
**MobaXterm** 是一款深受程序员和系统管理员喜爱的免费终端模拟器和SSH客户端,尤其在Windows操作系统中广泛使用。这款工具集成了多种网络协议,如SSH、RDP、VNC、FTP等,允许用户在一个简洁的界面下管理远程服务器...
KODExplorer 芒果云-资源管理器
07-16
管理员: admin/admin 普通用户:demo/demo 游客用户:guest/guest [如何使用] 下载程序,解压上传到你的服务器路径下,data目录设置777权限。访问体验超便捷的服务吧! (data目录没有写权限会导致配置修改不能...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
易欣多用户博客 1.5
12-01
如果管理员在指定的时间内没有进行任何操作或关闭页面将视为退出登录。 d.修改filterstr的值。filterstr的作用是限制游客提交的内容。如果游客提交的内容中有限制的字符,将不能成功提交。 2.你可以任意修改登录...
php用户登录 session用法,在 PHP 中使用和管理 Session实现简单的用户登录功能...
weixin_42517317的博客
03-24 1905
在 PHP 中使用和管理 Session实现简单的用户登录功能由 学院君 创建于9个月前, 最后更新于 7个月前版本号 #22051 views1 likes0 collectsSession vs. Cookie与 Cookie 一样,Session 技术也是用于解决 HTTP 协议无状态的问题,不过,与 Cookie 数据保存在客户端不同,Session 数据存储在服务端,然后通过分配一个...
Session的基本用法(增删改查)
小田同學的博客
03-30 3671
Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的session文件,当用户再去访问服务器中的其它web资源时,可以从用户各自的session中取出数据为用户服务。 Session是最重要的用户行为跟踪技术(防止用户非法登录/验证码等) 1.保存session数据———————-class.php————————————class Dog {
java修改session_Java中对session的简单操作
weixin_35752122的博客
02-12 1444
1.jsp中操作sessionrequest.getSession().setAttribute("username", "xxx"); // 设置%>2.java中操作session//servlet中request.getSession();session.getAttribute("username");session.setAttribute("username", "xxx");...
Java网络开发(Session)—— 从http请求 到 cookie 到 session & 用 session控制 删改数据的权限
最新发布
Arya的博客,专注后端领域
06-10 1141
1.http请求是无状态的,因此出现了cookie; 2.cookie不安全,里面的值可以被随便改; 3.用cookie里的JESSIONID值对应服务的session存储空间; 4.在服务器的这个空间里保存信息,记录登陆成功的user; 5.在删改时,每次浏览器请求,cookie也会发给服务器,服务器用cookie里的JESSIONID找到对应的session区域,然后再找到这个session中的用户信息,就能控制删改权限;
《SpringSecurity in Action》三:Session并发控制问题
shangcunshanfu的博客
04-24 1891
文章目录1 概述2 实现方法3 测试方法 1 概述 Session并发控制指服务端控制客户端某个用户同时在线的数量,如某个账号在谷歌浏览器上进行了登陆,又在IE浏览器上进行了登陆,又在手动app上进行了登陆,那这时session并发数就是3.控制session并发的意思一是在于控制服务器资料占用,二是可以起到对帐号的保护作用。比较我们是不是都有这样的经历,我们正登着QQ呢,突然自己登出了,不久QQ就给我们发了一条消息,说你的帐号在哪哪哪登陆了,如果不是本人操作赶快修改密码。这就是session并发控制。如果
Spring-Session之动态启用
夫礼者的专栏
12-13 1016
公司的系统在引入Spring-Session进行Session共享之后,自然而然出现了动态启用的需求,毕竟在开发时我们并不需要开启这个功能
php读写锁,PHP session并发操作及session读写锁
weixin_39628945的博客
03-21 287
今天我来谈谈所有的PHPer都熟悉的session。Case1.示例代码中分别以files,redis储存会话数据2./session/setUserFile和/session/setUserRedis设置user_name,user_id两个key,并sleep了3s3./session/setLoginFile和/session/setLoginRedis设置last_time一个key4./...
Django 分离普通用户管理员登录界面之后如何隔离session
05-05
在 Django 中,可以使用中间件来控制用户访问权限。对于需要分离普通用户管理员登录界面的情况,可以使用自定义中间件来实现...通过这种方式,可以实现普通用户管理员的登录界面分离,并且可以隔离它们的 session
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值