java web 登录后更新JSESSIONID

最新推荐文章于 2022-08-14 23:17:49 发布
最新推荐文章于 2022-08-14 23:17:49 发布
阅读量1.7k 收藏
点赞数
分类专栏: Java

来源URL:http://huangqiqing123.iteye.com/blog/2031455


登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。

 

javaweb程序强制更新JSESSIONID的方法

Java代码   收藏代码
  1. /** 
  2.  * 重置sessionid,原session中的数据自动转存到新session中 
  3.  * @param request 
  4.  */  
  5. public static void reGenerateSessionId(HttpServletRequest request){  
  6.       
  7.     HttpSession session = request.getSession();  
  8.       
  9.     //首先将原session中的数据转移至一临时map中  
  10.     Map<String,Object> tempMap = new HashMap();  
  11.     Enumeration<String> sessionNames = session.getAttributeNames();  
  12.     while(sessionNames.hasMoreElements()){  
  13.         String sessionName = sessionNames.nextElement();  
  14.         tempMap.put(sessionName, session.getAttribute(sessionName));  
  15.     }  
  16.       
  17.     //注销原session,为的是重置sessionId  
  18.     session.invalidate();  
  19.       
  20.     //将临时map中的数据转移至新session  
  21.     session = request.getSession();  
  22.     for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
  23.         session.setAttribute(entry.getKey(), entry.getValue());  
  24.     }  
  25. }  

 


walkersc
关注
专栏目录
使用Chrome登入应用后,jsessionid更新,又跳转回登入页——记一次Nginx配置不当引起的乌龙事件
zyq_2014的博客
01-09 1068
使用Chrome登入应用后,jsessionid更新,又跳转回登入页——记一次Nginx配置不当引起的乌龙事件 问题 一个用来查数据的运维工具,据少数使用者反馈之前都能正常使用,增加了某些业务功能后,在开发和测试环境都能正常使用,一部署到生产环境后,就发生登入后进入index页面,点击菜单栏中任一页面,又跳回登入页面 排查过程 该应用后端使用shiro作为安全框架,看之前的shiro代码使用的确有问题,但是这次改动并没有影响到这块代码,前端也都是新增的页面,排除代码的可能性。 考虑到开发测试服务器上
java jsessionid_关于JSESSIONID
weixin_32157619的博客
02-21 1511
好久没写博客了,一直没什么好写的,最近碰到JSESSIONID这个问题,网上的说法有点模糊,特别是什么时候会出现URL重写这个问题,有些说客户端禁用Cookie,有些说第一次访问,这里总结一下JSESSIONID是什么老实说一开始看到这个有点懵,写Java这么久没看过这东西。首先,JSESSIONID是一个Cookie,Servlet容器(tomcat,jetty)用来记录用户session。什么...
java获取客户端请求中cookie中的sessionId,销毁session重新建立sessionId
Li_Zhongxin的博客
07-28 1万+
import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; impor...
登陆后sessionId一直更新
tcllxxl的博客
08-04 510
前端用的React,原因是fetch函数跨域设置 原文:https://www.cnblogs.com/wonyun/p/fetch_polyfill_timeout_jsonp_cookie_progress.html fetch option 添加一下属性: credentials: ‘include’, // include, *same-origin, omit
解决java后台登录前后cookie不一致问题
08-31
这个方案是通过JavaScript在登录页面上删除名为JSESSIONID的Cookie,这样可以确保用户登录后客户端的Session ID与服务器端的新Session ID不同。但这种方法只是临时解决了表面现象,没有从根本上解决问题。因为每次...
java点击登录跳转页面_Java WEB 第8章 登录功能实现-登录成功跳转主页面
weixin_32520095的博客
02-12 3341
第8章 登录功能实现-登录成功跳转主页面8.1涉及的技术知识点1) Session会话 CookieJSTL标签8.2Cookie1) HTTP是无状态协议,服务器不能记录浏览器的访问状态,也就是说服务器不能区分中两次请求是否由一个客户端发出。这样的设计严重阻碍的Web程序的设计。如:在我们进行网购时,买了一条裤子,又买了一个手机。由于http协议是无状态的,如果不通过其他手段,服务器是不...
java web 登录机制_Java Web(三) 会话机制,Cookie和Session详解
weixin_30752995的博客
02-16 269
很大一部分应该知道什么是会话机制,也能说的出几句,我也大概了解一点,但是学了之后几天不用,立马忘的一干二净,原因可能是没能好好理解这两种会话机制,所以会一直遗忘,一直重新回过头来学习它,今天好好把他总结一下,借鉴该文章中的内容,因为我觉得该篇文章确实写的很不错,解答了我很多疑问,特点是对cookie和session的理解,其中的会员卡的例子,真是一针见血的奇效。我按照自己的思路来重新整理一份,给自...
java web 开发
zhaohuodian的博客
08-09 343
为什么 Servlet 规范会有两个包,javax.servlet 和 javax.servlet.http ,早先设计该规范的人认为 Servlet 是一种服务模型,不一定是依赖某种网络协议之上,因此就抽象出了一个 javax.servlet ,同时在提供一个基于 HTTP 协议上的接口扩展。很多Web框架是从实际的Web项目抽取出来的,仅和Web的请求和响应处理有关,形成一个基础,在开发别的应用项目的时候则可以从这个剥离出来的基础做起,让开发者更关注更具体的业务问题,而不是Web的请求和响应的控制。..
tomcat修改jsessionid在cookie中的名称
04-14
tomcat修改jsessionid在cookie中的名称
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1385
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
探索接口自动化(三)--如何处理需要登录后才能使用的业务接口测试(基于unittest)
weixin_56385300的博客
08-14 804
本次以更新用户信息接口为例,总结如何实现需要登录才可以使用的功能的接口脚本自动化。
Servlet 会话管理详解(HttpSession、Token和Cookie)
swadian2008的博客
03-01 2879
会话(session)是指用户与服务器之间的一种交互模式,也称为服务器端会话(server-side session)或会话状态(session state)。在 Web 开发中,会话可以在用户登录网站时创建,并在用户退出或超时时结束。在会话期间,服务器可以在不同的页面之间共享数据,并跟踪用户的行为。会话的实现通常使用 session ID 来标识一个会话。
就最近一段时间,就遇到了两次session id 一直变化的,所以做个总结。
热门推荐
rendeyishi的专栏
12-27 2万+
sessionid一直变化,1跨域 2session冲突
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
java web项目的登录接口怎么做
最新发布
09-11
Java Web项目中,实现一个登录接口通常涉及以下几个步骤: 1. 创建用户模型(User Model):定义用户的数据结构,包括用户名、密码等基本信息。在Java中,通常会有一个对应的Java类来表示这个模型。 2. 数据库设计:在数据库中创建一个用户表,用于存储用户信息。这个表需要包含用户名、密码、以及其他可能需要的字段(如邮箱、手机号等)。 3. 创建登录接口(Login Interface):使用Servlet或其他后端框架(如Spring MVC)创建一个用于处理登录请求的接口。这个接口通常会接收用户名和密码作为输入参数。 4. 实现用户认证(User Authentication):在接口中实现用户认证的逻辑。这通常涉及到查询数据库,验证提供的用户名和密码是否匹配,并且密码应该是加密存储的。 5. 设置会话管理(Session Management):如果用户认证成功,需要创建一个会话(Session),将用户身份信息存储在会话中,并将会话标识符(如JSESSIONID)返回给客户端,以便后续请求能确认用户身份。 6. 异常处理:在登录过程中,可能会遇到各种异常情况,如用户名不存在、密码错误等。需要合理处理这些异常,并向用户反馈相应的错误信息。 7. 安全措施:为了保护用户信息,需要使用HTTPS协议来加密传输数据,并且在存储密码时使用哈希加盐(salt)的方式,确保即使数据库被泄露,密码也不容易被破解。 下面是一个简化的登录接口实现示例: ```java @WebServlet("/login") public class LoginServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); // 这里假设UserDao是一个已经定义好的类,用于数据库操作 UserDao userDao = new UserDao(); User user = userDao.findByUsername(username); if (user != null && password.equals(user.getPassword())) { // 密码匹配成功,设置session HttpSession session = request.getSession(); session.setAttribute("currentUser", user); // 跳转到登录成功页面或主页 response.sendRedirect("homepage.jsp"); } else { // 密码不匹配或其他问题,设置错误消息并重定向回登录页面 request.setAttribute("errorMessage", "用户名或密码错误"); request.getRequestDispatcher("login.jsp").forward(request, response); } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值