会话互串Sessions mixed-up

最新推荐文章于 2021-03-14 19:24:44 发布
最新推荐文章于 2021-03-14 19:24:44 发布
阅读量159 收藏
点赞数
分类专栏: 设计相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayne_ren/article/details/84769445
版权
场景:
1-打开一个Tab,用Admin登录系统
2-再打开一个Tab,用User登录系统
3-退回Admin的Tab,操作数据
此时的用户已经不是Admin而是User了。
※早期主流浏览器没有选项卡,开创选项卡浏览器的是国人二次开发的MyIE。

不理解Session与Cookie的先补补这部分知识。
[img]http://dl2.iteye.com/upload/attachment/0115/6757/ff90d33c-2e12-3a10-a6d9-6c0cea7ca7f6.png[/img]

浏览器的多选项卡之间是共有一个Session的,所以这种情况下一般需要通过以下方法来访问系统:
1)打开不同的浏览器,比如:IE、FF、Chrome
2)打开同一浏览器的多个窗口(不是Ctrl+N打开)
IE: File>New Session
FF: File>New Private Window(Ctrl+Shift+P)
Chrome: Menu>New incognito Window(Ctrl+Shift+N)

这两种方法只能针对开发测试的,对用户来说就有些牵强了。

如何让系统支持多用户在多选项卡间同时登陆?首先最基本的需要采用ACL权限控制来保证用户的权限不会越级,比如上边这个场景不至于普通User执行了Admin的操作。

其次需要让多个选项卡之间只允许一个用户登录。
1)过滤请求,如果访问的是登录页,查看Session中是否已有用户信息,直接跳向指定页。 
HttpSession session = request.getSession();

User user = (User) session.getAttribute("LOGIN_USER_INFO");
if (user == null) {
  // Session Timeout
  response.sendRedirect("LOGIN_URL");
  return false;
} else {
  // Multiple or Repeated Login
  if ("LOGIN_URL".equals(request.getRequestURI())) {
    response.sendRedirect("HOME_URL");
    return false;
  }
}

2)成功登陆后新建一个会话,删除老的会话,可防御会话劫持Session Fixation / Hijacking。 
HttpSession oldSession = request.getSession(false);

if (oldSession != null && !oldSession.isNew()) {

  // store the old session
  Enumeration attrNames = oldSession.getAttributeNames();
  Properties props = new Properties();
  if (attrNames != null) {
    while (attrNames.hasMoreElements()) {
      String key = (String) attrNames.nextElement();
      props.put(key, oldSession.getAttribute(key));
    }
  }

  // invalidate the old session
  oldSession.invalidate();

  // generate a new session
  HttpSession newSession = request.getSession(true);

  // copy the data of the old session into the new session
  attrNames = props.keys();
  while (attrNames.hasMoreElements()) {
    String key = (String) attrNames.nextElement();
    newSession.setAttribute(key, props.get(key));
  }
}


另外两个问题:
1)限制同一个用户在同一时间只能登录一次
这里说的不是SSO单点登录,而是防止一个账户多处登录
在服务器端存储一个User的会话Map<User, Session>(或存入DB)
创建一个HttpSessionListener来监听会话,如果该User的会话已经存在用新的会话替换它。

2)同一服务器多应用的会话管理
Tomcat使用JSESSIONID作为默认的Cookie键值来识别Session,也可以自定义该键值: 
<Host name="localhost" appBase="webapps"...>
  <Context path="/appA" sessionCookieName="yourCookieName"/>
</Host>
wayne_ren
关注
专栏目录
WebRTC系列-SDP之setRemoteDescription
HOSTEN的博客
10-15 1295
是WebRTC中PeerConnection对外的重要接口之一,无论是offer还是answer端,在收到对方的sdp后都需要调用setRemoteDescription()方法,从而将对方的sdp交给WebRTC去处理;在其w3c文档中说明如下:RTCPeerConnection 中的方法 setRemoteDescription() ,是用来将指定的会话描述(Session Description)设置为远程对等方的offer或answer。
Java面试题 -- SpringBoot面试题二(Spring Boot 是微服务中最好的 Java 框架)
weixin_45472939的博客
11-03 1153
问题一 path=”users”, collectionResourceRel=”users” 如何与 Spring Data Rest 一起使用? @RepositoryRestResource(collectionResourceRel = "users", path = "users") public interface UserRestRepository extends PagingAn...
关于Session互串的随笔
三问飞絮
08-27 2652
场景:       一、在同一款浏览器上,先后访问同一个网站,用不同帐号登录。最后一次登录覆盖前一次登录。       说明:这个比较容易理解。从IE7开始,各款浏览器都统一规则:不同Tab页的窗口共享一个session。                 之所以会出现上述的情况,一般是出现在one page one application的应用。        二,同一个应用服务器,即...
java两个页面session互串_同一个游览器中,同一个web系统,两个选项卡,session互串,如何解决?求大神给个'认真'的解决方案...
weixin_35172715的博客
02-27 798
一般web应用在同一个浏览器中肯定只能存在一个用户,比如OSC 我之前登陆过了,再次进入osc还是以我的账号进入。如果要登录另外一个用户,只能注销再次登录。思路如下:搞一个全局过滤器,如果之前有用户A session存在了,新标签页进入该系统还是以用户A的身份进入系统。就算用户直接进入登陆页面也自动进入首页。以下是我自己的实现,可以参考下,是过滤器public void doFilter(......
java两个页面session互串,关于Session互串的漫笔
weixin_35740545的博客
03-14 869
场景:一、在同一款浏览器上,先后访问同一个网站,用不同帐号登录。最后一次登录覆盖前一次登录。说明:这个比较容易理解。从IE7开始,各款浏览器都统一规则:不同Tab页的窗口共享一个session。之所以会出现上述的情况,一般是出现在one page one application的应用。二,同一个应用服务器,即同一个IP上,部署两个应用。说明:以Tomcat为例,其他中间件类似。出现的原因是,两个应...
会话串号
weifly
03-28 326
最近碰到了串号问题,即A登录后,进入某个功能时,看到了B的页面。困扰了很多时间。查看http响应头内容如下:   Age:1762Content-Language:zh-CNContent-Length:25035Content-Type:text/html;charset=UTF-8Date:Mon, 28 Mar 2016 01:11:45 GMT   “Age”http头?查看ht...
session串的问题以及解决方法
燕窝
09-08 4128
<br />什么是session串的问题  <br />典型案例:现有一Web系统,用用户A登录,打开修改页面Page1,然后通过菜单文件-》新窗口打开一个窗口,用用户B登录,然后回Page1页面提交,此时身份已经变为用户B,出现非希望的结果。这就是session串的问题。<br /><br />如何解决Session串的问题<br />解决Session串的问题需要使用URL重写的技术,下面介绍一下什么是<br />(1)URL重写<br /> 什么是URL重写<br />  URL重写包括向URL路径添
Nessus高级设置Advanced Settings
zhaohonghan的博客
06-04 8963
本文描述的是关于Nessus的高级设置,是基于Nessus官方文档进行的翻译,仅包含Settings-Advanced中的选项。 本文基于Nessus8.4的Home版本,官方文档原文链接:https://docs.tenable.com/nessus/Content/GettingStarted.htm User Interface用户界面 ...
Redis6.0.10 配置文件说明
更新博客
03-04 588
Redis6.0.10 配置文件说明 # Redis configuration file example. # Redis 配置 文件 模板 # # Note that in order to read the configuration file, Redis must be # started with the file path as first argument: # 请注意为了加载配置文件,Redis必须以配置文件路径作为第一个参数: # # ./redis-server /path/to/re
Pads Layout 2007 中文教程
06-21
- **重放 Sessions(Replaying Sessions)**:重复执行上次的操作序列。 - **使用带宏的命令行开关(Using Command Line Switches with Macros)**:通过命令行调用宏。 - **运行 Bug Log Test(Running the Bug ...
[Android实例] 同一个session通信的解决方案
xiongpeng2003的专栏
08-09 509
如果你的应用需要与服务器端的Web程序进行交互,肯定与遇到我下面说的这个问题。        有天开发Web应用的小孙告诉我,他的Web应用从tomcat控制台查看,连接数上百了,这对于正常的应用没什么,但是我们是测试环境啊,只有我们三个Android开发人员,哪有那么多的链接数呢,最后发现,只要我点击手机上的关于服务器交互的应用,就会产生一个连接数,这可要人命,以前没开发过android的正式
解决session串台问题
chiguang7078的博客
04-16 462
1、登录后产生一个唯一字符串,例如:标识_时间戳_用户id ,作为session KEY名 2、将KEY名先存到cookie,将会保存到客户端 3、把session的KEY名设为上面1生成好的字符串,并保存session值 4、在验证时侯先取COOKIE 5、再取session名为COOK...
同域名下的多项目谨防sessionid互相影响,造成严重后果
摩西的博客 爱it 爱生活 爱折腾
12-12 6531
同域名下的多项目谨防sessionid互相影响,造成严重后果,保持咱程序猿的优良传统,独立的命名空间,严格的洁癖症,处事不惊的顽强能力。转入正题 已我开发cctv项目为例,当然cctv愿意找我,我是很乐意效劳的,哈哈!!不过我是无证程序猿,很可能去了也是临时工,好吧,我还是拿他做例子吐槽吧: www.cctv.com/zhidao www.cctv.com/news 这里将zhidao、
*Session串号的问题(换号登录,还是原来账号的信息)
西瓜的博客
03-30 3430
案例:a登录后发现,进入了b的个人中心 代码分析:session(‘user’,$res); 因为你的name就是user是一样的,所以只要上一个用户不退出登录,N个用户都会直接登录 解决:每个用户设置session都要有唯一的标 ...
C# Session互串 解决方案
03-24 677
SessionID 属性用于唯一地标识在服务器上包含会话数据的浏览器。 SessionID 值由 ASP.NET 随机生成。 ASP.NET 可唯一标识每个浏览器使用的会话。默认条件下,会话的唯一标识符存储在浏览器的不过期会话 Cookie 中。 说明 要提高应用程序的安全性,您的应用程序必须允许用户注销,以便此时它可以调用 Abandon 方法。这样可以减少不必要代码使用
55 同一浏览器session会串的问题
惟愿无事
11-18 4486
E6是每新开一个窗口一个session,基本一定不会串  IE7是同一个窗口里面多个Tab页共享一个Session,同窗口的会串  IE8是所有窗口所有标签Tab页共享一个session,除非是用那个文件菜单新开会话打开窗口则独立session  FireFox和Chrome则缺省就是所有窗口所有Tab共享一个Session。 所以要解决这个不同帐户在同一客户端使用同种浏览器同时登录的问题
scapy中使用sessions自动分割tcp会话
最新发布
02-03
Scapy 中可以使用 sessions 功能来自动分割 TCP 会话。通过使用 sessions,Scapy 可以识别出每个 TCP 会话中的数据包,并将它们分组到同一个会话中。这样可以方便地处理和分析大量数据包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值