用户登陆成功修改SessionId

最新推荐文章于 2023-06-05 16:50:54 发布
最新推荐文章于 2023-06-05 16:50:54 发布
阅读量4.1k 收藏 6
点赞数 2
分类专栏: SpringMVC 文章标签: java springmvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41591944/article/details/110926673
版权

问题场景

用户进入登陆页面的时候会生成一个SessionId,登陆成功后会带着这个一开始生成的SessionId进行后续的操作,但是这样的话就有一个问题,恶意攻击者可以抓取一开始的这个SessionId去伪造请求,所以登陆成功后需要更新SessionId,并且让浏览器的Cooike也随之修改。

解决方案:

其实是一个很简单的修改办法,但是百度了很久,都是一些不管用的,所以自己去看了一下HttpRequset接口里面的代码。
HttpServletRequest req
req是HttpServletRequest

写点BUG
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
社会你“小峰哥“用Java实现了管理员可以修改任意用户Session的功能
【CSDN】
08-12 706
目录 1 Session会话简介 2 简单实例准备 3 动态修改用户Session场景分析 4 动态修改Session原理介绍 5 动态修改Session实现 6 高并发下的性能优化 7 完整源码+配套视频教程分享 8 留了一点小作业 1 Session会话简介 session 是另一种记录服务器和客户端会话状态的机制,并且session 是基于 cookie 实现的。服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 1973
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session用户输入信息,登录以后,sessionid不会改变,也就是说还是以前的那个session(事实上session也确实不
thinkphp3.2更改sessionid长度
You are happier than before
06-10 467
PHP官方给的session配置里,有个参数session.sid_length可以控制,要PHP7.1版本及以上。 而我的环境是PHP5.6,所以不能用上面的配置来实现。 我的具体实现步骤: 1.thinkphp3.2配置文件里增加配置 'SESSION_OPTIONS' => [ 'id' => uniqid() . str_shuffle('1234567890abcdefghijklmnopqrstuvwxyz') ] 2.完成第一步后,sess
【学习笔记】原来SpringSessionSessionID是不能直接改的
qq_41901344的博客
05-12 576
它不仅是private 修饰的还是final修饰的,private意味着即使redissession是可继承的,你也拿不到它,private修饰的成员变量是让你可以拥有,只是可以拥有,final 修饰意味着它!防止篡改Cookie,最好的方法当然是利用非对称加密,通过私钥加密这个cookie的值,进行一个数字签名的大动作,然后再将cookie的值是签名的内容+要被签名的内容+公钥组成,再次返回的时候验证,就验证这个签名的内容解出来之后是否与要被签名的内容相同,内部是不是有个MapSession的实例?
SessionID的本质
07-24 1296
一、客户端用cookie保存了sessionID 客户端用cookie保存了sessionID,当我们请求服务器的时候,会把这个sessionID一起发给服务器,服务器会到内存中搜索对应的sessionID,如果找到了对应的 sessionID,说明我们处于登录状态,有相应的权限;如果没有找到对应的sessionID,这说明:要么是我们把浏览器关掉了(后面会说明为什 么),要么sessi...
Cookie和session工作流程详解
weixin_64874291的博客
06-05 1000
前言虽然大部分客户端的数据都是从服务器中请求的,但是还有一小部分数据为了减轻服务器的负担,这一部分数据可以在浏览器本地中进行数据存储,如果此时的数据需要本地存储,是否可以直接写入硬盘呢,答案是否定的,如果允许网站直接把数据写入硬盘,此时有一些恶意网站就可能攻击客户端,把硬盘上的数据弄丢。所以引入了。
spring-session自定义cookie中的sessionId名称(基于springboot)
热门推荐
zhu124866的专栏
08-17 2万+
为何要修改sessionId名称 如果多个应用系统,访问使用同一个域名或IP,不同端口时,在同一个浏览器登陆这些系统系统,它们之间会出现用户会话会出现覆盖问题,即登录到其中一个应用系统,其他应用系统出现重新登陆现象; 具体操作 经过分析SpringHttpSessionConfiguration的源码(这里不带大家对源码进行分析了),可归纳出以下两种方式可修改sessionId名称 1、定...
Servlet - 使用 changeSessionId() 防止会话固定攻击
allway2的博客
09-03 987
在本教程中,我们使用 Jetty 插件而不是 tomcat7-maven-plugin,因为 tomcat 插件不支持 Servlet 3.1(它支持最高 3.0 的版本)。,黑客获取/设置(通过任何方式)另一个人的会话ID。然后,黑客可以冒充他人并获取敏感信息。在以下示例中,我们将学习如何使用 Servlet 3.1 API 对抗会话固定。此方法将当前会话 id 更改为新的,从而提供针对会话固定攻击的保护。实现 AppSessionIdListener。用于登录后处理的另一个 servlet。
单点登录源码
01-09
通用用户管理系统, 实现最常用的用户注册、登录、资料管理、个人中心、第三方登录等基本需求,支持扩展二次开发。 > zheng-wechat-mp 微信公众号管理平台,除实现官网后台自动回复、菜单管理、素材管理、用户管理...
Java Web应用开发:个人信息修改.docx
05-20
(1) 用户成功登录后,包含有用户各项信息的对象user(Customer类型)存储在session的“user”属性中。(忘记的同学请回顾登录过程)。 (2) 创建用户信息修改页面userEdit.jsp,该页面包含修改信息的表单,初始化要把...
Java毕业设计:通讯录管理系统(Springboot+Mybatis-Plus).zip
05-04
管理登录成功后,展示所有的用户信息 条件查询 根据用户id、名称精确查询 根据用户名称,邮箱、年龄模糊查询 用户添加 用户邮箱格式校验 两次密码是否一致 Ajax请求,局部刷新父页面(添加后列表也自动加载最新数据...
网上书城平台【数据库脚本】
08-24
* 用户退出:销毁session 2). 分类模块 * 查询所有分类: > 有1级和2级分类 > 在页面中使用手风琴式菜单(Javascript组件)显示分类。 3). 图书模块: * 按分类查询 * 按作者查询 * 按出版社查询 * 按书名模糊查询 ...
图书管理系统 大二上学期的期末大作业。感觉是一个不错的Javaweb的练手项目hh。
01-13
成功:提示用户成功,自动跳转到登录页面 失败:提示用户失败,还是在当前页面 与学生登录和管理员登录之间可以相互跳转(response完成重定向) 注册的时候不要以form表单的形式直接提交信息,要采用ajax,以json的...
html访问时sessionid变,登录成功后,再请求后端接口,返回未登录发现session id 变了...
weixin_42353715的博客
06-30 431
我最开始请求登录接口,登录成功后,再请求数据接口,返回未登录。于是我把登录接口跟数据接口脱离项目,放一个单独的html文件中,然后测试发现请求是成功的,session id是一致的;然后项目中的数据接口也能请求成功了,但等登录时效一过,项目中的数据接口又返回未登录了;只要我把单独的html(包含登录接口与数据接口)刷新,项目中的数据接口就能请求成功后台是java我在网上查了很多资料,基本上与我的情...
PHP修改session_id
zzcchunter的专栏
01-02 3192
if(isset($_GET["se"])){ $se = $_GET["se"]; }else{ return; } if(!empty($se)){ echo("receive se: ".$se.""); //接受的的session为$se session_id($se); //设置$se位session_id session_start(); /
thinkphp5.1自定义SESSIONID与自定义SESSION存储
u014265398的博客
05-14 2792
系列文章目录 文章目录系列文章目录前言一、自定义session_id处理总结 前言 最近公司项目在搞安全排查,发现php 里面默认的session_id明文存储不符合安全规范,生成的机制不符合安全随机数,要求整改,这里记录一下修改方案,以备不时之需。 提示:以下是本篇文章正文内容,下面案例可供参考 一、自定义session_id处理 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和
修改服务器sessionid,Session服务器配置指南与使用经验
weixin_42120283的博客
08-11 1462
一.摘要所有Web程序都会使用Session保存数据. 使用独立的Session服务器可以解决负载均衡场景中的Session共享问题.本文介绍.NET平台下建立Session服务器的几种办法, 并介绍在使用Session时的各种经验和技巧.二.关于Session,SessionID和CookiesSession数据保存在服务器端, 但是每一个客户端都需要保存一个SessionID, Session...
登录成功用户信息存储在Session
最新发布
09-19
### 回答1: 中,可以通过在服务器端设置Session来实现。在用户登录成功后,服务器会生成一个Session ID,作为该用户的唯一标识,并将该ID存储在Session中。接下来,每次用户请求服务器时,服务器都会检查用户请求中是否包含Session ID,如果有,则从Session中获取该用户的信息进行处理。在用户退出登录或Session过期时,服务器会删除对应的Session信息。在Java中,可以使用HttpSession类来实现Session管理。 ### 回答2: Session是一种在服务器端存储用户信息的机制。在用户成功登录后,服务器会在内存中创建一个唯一的Session对象,并为该用户分配一个唯一的Session ID用户的登录信息会被存储在该Session对象中。 Session通过使用Cookie来维护与用户的关联,当用户登录成功后,服务器会将Session ID以Cookie的形式发送到客户端的浏览器中。浏览器在下次请求服务器时,会自动将该Cookie带上,从而服务器可以根据Session ID来找到对应的Session对象,从而获取用户的登录信息。 存储在Session中的用户信息可以包括用户的身份标识、用户名、权限等。这些信息在用户每次发送请求时都可以被服务器获取和使用,从而实现对用户的身份认证和权限控制。比如,在用户访问某个需要登录权限的页面时,服务器可以通过Session中的用户信息判断用户是否具有访问权限。 Session的数据存储在服务器端,相对于客户端的Cookie来说,更加安全。因为用户无法直接修改Session中的数据,只能通过与服务器的交互来操作。 需要注意的是,Session用户退出登录后会被销毁,或者在一定时间内没有活动时会被服务器自动清理。因此,Session具有一定的时效性和安全性,可以有效地保护用户的登录信息。 ### 回答3: Session 是一种在服务器端存储用户信息的机制。当用户在网站登录成功后,服务器会为该用户创建一个对应的 Session 对象,并在该对象中存储用户的相关信息。这些信息可以包括用户用户名、角色、权限等。 Session 的存储方式可以是内存、数据库或者文件,具体使用哪种方式取决于服务器的配置。当用户进行其他操作时,如访问其他页面或提交表单,服务器会通过 session ID 来识别该用户,并从 Session 存储的位置中获取相应的用户信息。 由于 Session 是存储在服务器端的,相比于存储在客户端的 Cookie,它更加安全,因为用户无法直接修改其中的信息。而且,由于存储在服务器端的 Session 是通过 session ID 来识别用户的,因此浏览器即使被关闭,用户下次重新访问网站时仍然可以保持登录状态,不需要重新进行登录操作。 然而,使用 Session 也存在一些问题。首先,如果网站访问量很大,Session 对服务器的内存消耗是比较大的,因为每个登录的用户对应都有一个 Session 对象。此外,如果用户在某些情况下没有主动退出,并且 Session 超时时间较长,那么在这段时间内,即使用户已经离线,服务器仍然需要维护用户Session 对象,增加了服务器的负担。 为了解决这些问题,可以采用一些方法,如定期清理过期的 Session、将 Session 存储到数据库中、使用集群部署等措施,来提高系统的性能和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值