用户登录成功后重新获取Session

最新推荐文章于 2025-11-04 21:48:10 发布
原创 最新推荐文章于 2025-11-04 21:48:10 发布 · 6.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

漏洞修复:Session会话登录前后无变化问题

这个漏洞意思是说用户登录系统前后Session变化,就是JSESSIONID没有改变


所以要在用户登录成功后在Filter(拦截器)或者登录Action里加入以下代码:

HttpServletRequest request = ServletActionContext.getRequest();
//获取旧Session
HttpSession session = request.getSession(false);
System.out.println("------------>旧session:" + session.getId());
//清空session
session.invalidate();
//重新获取session
session = request.getSession(true);
System.out.println("------------>新session:" + session.getId());
//将登录的用户保存到新Session
session.setAttribute(SysProperties.LOGIN_OBJECT, loginObject);

打印结果:

------------>旧session:45E48C020751A402A5AE5B7FDEC41B5A
------------>新session:EDE76FBC7D9DBF7CABC0ED025B350131
这里要说的重点是request.getSession()参数True和False的区别:
request.get
最低0.47元/天 解锁文章
Session登陆实践
goat的博客
03-09 1783
假如我们的服务端是分布式的,也就是有多台服务器同时提供服务,假如在用户登陆请求发送到服务器A,服务器A保存了;突然服务器A宕机,接下来当前用户的所有请求将要发送到服务器B,但此时服务器B中没有当前保存当前用户的登陆态,显然单机Session登陆不太适合分布式下的用户登陆。单机模式下,不同的Session对象都被保存在同一个服务器中,服务器根据保存在用户浏览器Cookie中的SessionId查找Session对象。对象,并将其与请求关联。关注一手等待后续更新更多干货🚀。
详细总结介绍Get和Post,Session和Cookies,Token和Cookies自登陆的思路
Deft_MKJing的博客
12-20 6275
Sessions和Cookies 一、会话机制 Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 一次会话指的是:就好比打电话,A给B打电话,接通之后,会话开始,直到挂断电话,该次会话就结束了,而浏览器访问服务器,就跟打电话一样,浏览器A给服务器发...
java web 登录后更新JSESSIONID
menghuanhuolong6的专栏
08-25 1274
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID的方法  /**   * 重置sessionid,原session中的数据自动转存到新session中   * @param reques
SpringBoot - Cookie & Session 用户登录登录状态保持功能实现
2509_94088384的博客
11-04 911
定义Session (会话控制),Session 对象存储特定用户会话所需的属性及配置信息SessionID:客户端第一次请求服务器时,服务器为客户端算出的一个值,存储在 Cookie 中,用于定位用户 Session 在服务器中的位置与 Cookie 的区别:Cookie 可以通过伪造来实现登录并进行一些 HTTP 请求,从安全性上来讲,Session 比 Cookie 安全性稍微高一些功能:提高安全性有效期:一般为半小时,可以根据需求设定缺点。
Shiro 自己实现登录重新生成sessionid
zmcyu的博客
06-21 9617
Shiro中要做到这一点可以通过实现可以通过继承org.apache.shiro.web.filter.authc.AuthenticatingFilter (一般是继承AuthenticatingFilter的子类FormAuthenticationFilter),重写executeLogin方法  在executeLogin方法 中加上 SecurityUtils.getSubject().l...
session和cookie的存储与获取
weixin_45001200的博客
06-13 1736
一、简单了解一下session和cookie的区别: 1)cookie存储于浏览器端,session存储于服务器端。 2)cookie安全性低于session的安全性,cookie的容量大于session的容量。 二、session存储与获取的实现。 以类的形式将用户的信息存储到session中并实现在前后端获取session中需要的属性。 前台用户登录账号和密码进入系统,登录验证方法中如果验证成功返回用户信息类,将用户的信息以类的形式存储到session中。前后端可以从session获取用户账号和密码以
接口-用户登录,返回session
weixin_30478923的博客
05-15 775
# 2、参照接口文档上 # http://doc.nnzhp.cn/index.php?s=/6&page_id=12 登录接口 # 登录成功之后,返回seesionid,用户登录时间 # sessionid # 用户名+当前的时间戳 md5,seesion失效时间是60分钟 # sessionid:niu...
登陆后sessionId一直更新
tcllxxl的博客
08-04 581
前端用的React,原因是fetch函数跨域设置 原文:https://www.cnblogs.com/wonyun/p/fetch_polyfill_timeout_jsonp_cookie_progress.html fetch option 添加一下属性: credentials: ‘include’, // include, *same-origin, omit
Yii框架用户登录session丢失问题解决方法
10-20
然而,在某些情况下,session可能会丢失,导致用户身份无法正确传递,表现为用户登录后再次访问时仍然需要重新登录。这可能是由多种因素引起的,包括但不限于: 1. session存储配置不当:默认情况下,Yii使用文件...
通过Session机制实现用户登录功能
最新发布
12-24
一旦登录成功,服务器端会为用户创建一个唯一的Session标识,通常这个标识会以cookie的形式存储在用户的浏览器中。当用户在浏览器中访问微博的其他页面时,服务器会通过识别这个cookie中的Session标识来确认用户的...
php同时使用session和cookie来保存用户登录信息的实现代码
10-22
- 在用户登录成功后,通过session_start()函数启动会话,并将用户信息存储在$_SESSION全局数组中。 - 使用session_regenerate_id()函数可以更新session id,提高安全性,避免session劫持。 - session_destroy()...
Django Session和Cookie分别实现记住用户登录状态操作
09-16
在Web开发中,保持用户登录状态是一个常见的需求。在Django框架中,有两种主要方法可以实现这一功能:Django Session和Cookie。理解这两者的工作原理和如何在Django中使用它们至关重要。 首先,让我们深入了解...
session.js, Session.js 获取用户会话信息.zip
09-18
session.js, Session.js 获取用户会话信息 Session.js提供有关当前会话的信息。要使用:包括文件 session.js, 然后访问访问者对象。 它使用google加载器获取位置数据。 对于异步加载,请使用 window.session_loaded 回调。Live示例
登陆以后通过session获取登录信息
zhang1278851469的博客
03-19 2687
框架session获取登录信息 SysUser user = ShiroUtils.getSysUser(); Long id = user.getUserId();
登陆中session的处理
weixin_33922672的博客
11-21 216
在学校中的登陆注册使用的普通session存储信息,然后就是根据session获取user是否拥有来判断是否登陆。 在一次面试中别人问到了我你们项目的登陆session是怎么一个情况,我这样答的话那太过简单。 于是别人我问我如果有多个账号登陆在同一个浏览器中怎么办呢?还需要验证吗?我就蒙了。   这是我们公司现在的登陆的一小段代码,我想已经可以说明登陆的实现了。 //登录成功之后清除sess...
用户登录成功后的操作
qq_41263241的博客
10-07 539
创建session学习-request.getSession()
cedric
05-15 386
在 HttpServlet中,HttpSession对象通常在request.getSession(true)方法调用时才创建。 HttpSession的使用是有代价的,需要占用服务器资源,本着能不浪费就不浪费的原则,我希望系统中的session都在掌握之中,在需要创建时由我们的代码明确创建。但是最近在开发中发现,新的session对象经常在意料之外出现,究竟是谁在创建session呢?    ...
session获取当前登录用户的基本信息
u011271164的博客
04-30 8911
session获取用户的信息有(用户id,用户名称;用户部门id,用户部门名称;用户机构id,用户机构名称)。 在具体写代码过程中,我们会从已创建好的session类中去获取,如下: IUser user = LoginCtrlSession.getLoginVO(); 定义一个user对象,后面需要获取用户的信息的话,则直接使用如:user.getYhId();具体的session类!!! public class LoginCtrlSession { public LoginCt
CookieSerializer如何做到登录成功后更换sessionid
03-08
<think>好的,我现在需要解释CookieSerializer如何在登录成功后更换sessionid。首先,我得理解用户的问题。用户想知道在使用CookieSerializer时,登录成功后如何更换sessionid,可能是为了安全考虑,防止会话固定攻击。 首先,我应该回忆一下CookieSerializer的作用。CookieSerializer主要用于序列化和反序列化cookie中的会话信息,通常与SessionManagementConfigurer结合使用,用来配置会话管理相关的设置,比如会话超时、cookie名称等。 接下来,用户提到的更换sessionid,这通常发生在用户认证成功后。在Spring Security中,默认情况下,当用户成功登录后,框架会自动生成一个新的会话ID,这就是所谓的“会话固定保护”机制。这样做的目的是为了防止攻击者获取用户的会话ID后,在用户登录后仍然能够使用该ID进行会话劫持。 现在需要明确CookieSerializer在这里的角色。CookieSerializer负责将会话ID写入cookie,或者从cookie中读取会话ID。当用户登录成功后,Spring Security会创建一个新的会话,并将新的会话ID通过CookieSerializer写入到响应头的Set-Cookie中,从而替换掉旧的会话ID。 具体步骤可能需要这样:当用户认证成功时,Spring Security会触发会话固定保护策略,默认是迁移会话(migrateSession),即创建新会话,复制旧会话的属性,然后使旧会话失效。这时候,新的会话ID会被生成,并通过CookieSerializer序列化到客户端的cookie中。 需要确认的是,CookieSerializer的配置是否正确,比如cookie的名称、路径、域等是否与应用的其他部分一致。如果开发者自定义了CookieSerializer,可能需要检查配置是否正确,以确保新的会话ID能够正确写入cookie。 另外,如果用户希望自定义更换sessionid的行为,可能需要通过配置SessionManagementConfigurer的sessionFixation()方法,选择不同的策略,比如newSession()会创建一个全新的会话,不复制属性,或者none()禁用会话固定保护,但这样不安全。 可能还需要考虑分布式会话的情况,比如使用Spring Session和Redis,这时CookieSerializer的设置需要与存储会话的配置一致,确保会话信息正确存储和检索。 总结一下,CookieSerializer本身并不直接负责更换sessionid,更换sessionid是由Spring Security的会话管理机制在认证成功后触发的。而CookieSerializer的作用是将新的sessionid正确地序列化到客户端的cookie中,完成会话ID的替换。因此,确保CookieSerializer配置正确,能够正确处理cookie的生成和发送,是实现登录成功后更换sessionid的关键步骤之一。</think>CookieSerializer 在登录成功后更换 SessionID 的过程主要通过以下步骤实现: --- ### 1. **会话固定保护机制** Spring Security **默认启用会话固定保护**,当用户认证成功时: - 创建新会话 - 复制旧会话数据(默认策略) - 使旧会话失效 - 生成全新 SessionID ```java http.sessionManagement() .sessionFixation().migrateSession(); // 默认策略 ``` --- ### 2. **CookieSerializer 的作用** 负责将新 SessionID 写入浏览器 Cookie: ```java @Bean public CookieSerializer cookieSerializer() { DefaultCookieSerializer serializer = new DefaultCookieSerializer(); serializer.setCookieName("MYSESSIONID"); // 自定义 Cookie 名称 serializer.setCookiePath("/"); serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); return serializer; } ``` --- ### 3. **关键触发时机** 当发生这些操作时自动触发 SessionID 更换: ```java // 伪代码示例 SecurityContextHolder.getContext().setAuthentication(newAuthentication); // 或通过表单登录 http.formLogin().successHandler((request, response, authentication) -> { // 此时会自动生成SessionID }); ``` --- ### 4. **安全效果验证** 通过浏览器 DevTools 观察: 1. 登录前 Cookie:`JSESSIONID=123` 2. 登录成功后变为:`MYSESSIONID=456`(名称和值都变化) --- ### 5. **高级配置选项** | 配置项 | 作用说明 | |-------------------------|----------------------------------| | `migrateSession()` | 默认策略,复制数据到新会话 | | `newSession()` | 创建全新空会话(不复制数据) | | `none()` | 禁用保护(不安全!) | | `setCookieMaxAge()` | 控制 Cookie 有效期 | | `setUseSecureCookie()` | 强制 HTTPS 传输 | --- ### 6. **分布式系统注意事项** 若使用 Spring Session + Redis: ```yaml spring: session: store-type: redis redis: flush-mode: on_save namespace: spring:session ``` 需确保 CookieSerializer 的配置与 Session 存储配置一致。 通过这种机制,系统在保障用户体验(保持登录状态)的同时,有效防御了会话固定攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值