Wie setzen Sie JSESSIONID

Wird es als eine gute Sicherheit der Praxis zum zurücksetzen der session-cookie, wenn ein Benutzer authentifiziert.

Wie dies mit Java?

Mein Versuch so weit ist erfolgreich, aber ich Frage mich, ob es einen besseren Weg:

public static HttpSession resetSessionId(HttpSession session, 
      HttpServletRequest request) {
    session.invalidate();
    session = request.getSession(true);
    return session;
}
  • Ich denke, dass ist der beste Weg...
  • Ich habe versucht, Ihren Weg. Aber die JSESSIONID nicht zurückgesetzt. Wissen Sie wissen, warum? Im mit Harz als meine web-container.
InformationsquelleAutor Bozho | 2011-01-29
  1. 2

    Ihre Antwort scheint optimal. Eine andere Möglichkeit wäre, direkt zu manipulieren cookes in diesem Mode:

     Cookie cookie = new Cookie ("JSESSIONID", "randomValue");
 cookie.setMaxAge( 0 );

    so erstellen Sie ein neues cookie mit dem gleichen Namen, und sofort verfallen, aber ich nicht empfehlen so aus, da deins ist viel sauberer und klar, wer ist vertraut mit grundlegenden Servlet-APIs.

    • Ich werde tatsächlich verwenden, denn damit werde ich in der Lage sein, die "secure" - flag auf false. Tomcat ist die Einstellung true, denn ich bin Authentifizierung über SSL
    • naja, eigentlich hat es nicht funktioniert - irgendwie ist es geschickt, zwei identische JSESSIONIDs, anstatt überschreiben der vorhandenen. So musste ich die gesamte Rückstellung für jetzt. Aber immer noch erhalten die akzeptierten Antworten, da die meisten komplett.
    InformationsquelleAutor darioo
  2. 3

    Ich nur die bitte aus, die ich die Sitzung. Wenn eine Sitzung noch nicht existiert, es gibt keinen Sinn in der Schaffung eines einfach nur, dass es ungültig ist. Dies gilt auch, wenn die session wurde gerade erstellt, indem die container (durch den Benutzer erste http-request direkt auf dem login-Formular).

    public static ... (HttpServletRequest request) { 
    HttpSession session = request.getSession(false);
    if (session!=null && !session.isNew()) {
        session.invalidate();
    }
    • gut, eine session vorhanden sein sollte, bevor die Authentifizierung (ich benutze eine benutzerdefinierte Authentifizierung, keine built-in http-auths). Wenn der Benutzer öffnet die login-Seite, eine Sitzung erstellt wird.
    • Ich bin lieber sehr optimal bezüglich der session-Erzeugung in meine webapps. Eine http-Sitzung ausdrücklich erstellt von Java-code nur bei Bedarf. Die Anzeige login-Formular in der Regel nicht verlangen, jeder Staat, der Handhabung.
    • was cherouvim sagt, ist sehr wahr, Handhabung Sitzung vor der Authentifizierung (oder einem anderen Staat erforderlich) können leicht ausgenutzt werden für OOM DoS (nur die Seite aufrufen erstellen der session, aber nie speichern, d.h. ausführen genau die gleichen GET-request). Also ich denke, das ist die beste Antwort (neben w/ Kommentar)
    InformationsquelleAutor cherouvim
  3. 2

    Tomcat (seit 6.0.24 AFAIK) ändern können, die sessionId-on authentication automatisch - solange Sie mit standard-servlet-Authentifizierung-Mechanismen (basic, form-basierte Authentifizierung). Diese können konfiguriert werden über changeSessionIdOnAuthentication für die Basic Authenticator-Ventil: http://tomcat.apache.org/tomcat-6.0-doc/config/valve.html

    • danke, aber ich bin mit einem benutzerdefinierten Authentifizierung.
    InformationsquelleAutor MartinGrotzke
  4. 1

    Einen anderen Weg (nicht der bessere Weg) ist zu nennen 'changeSessionId(existingSession)' von org.apache.catalina.session.StandardManager die änderung der session-ID der aktuellen Sitzung in eine neue zufällig generierte session-ID.

    Verwenden Sie StandardManager Mbean, die zum aufrufen dieser Methode. Bitte sehen Tomcat-MBeans

    Pseudo-code:

    ObjectName contextObjectName = new ObjectName("Catalina:type=Manager,path=/was auch immer,host=whateverhost");

    mbeanServer.invoke(contextObjectName, "changeSessionId", new Object[]{session}, new String[]{"javax.- servlet.http.HttpSession"});

    InformationsquelleAutor Ritesh
Schreibe einen Kommentar