Java 如何在成功进行身份验证后颁发新的会话令牌或会话凭据
如何在成功验证用户后颁发新会话令牌或会话凭据。我想删除上一个会话令牌或凭据,以及与上一个会话关联的服务器上下文,无论用户是否已登录 登录后,我需要一个新的jsession id以避免会话固定攻击Java 如何在成功进行身份验证后颁发新的会话令牌或会话凭据,java,session,Java,Session,如何在成功验证用户后颁发新会话令牌或会话凭据。我想删除上一个会话令牌或凭据,以及与上一个会话关联的服务器上下文,无论用户是否已登录 登录后,我需要一个新的jsession id以避免会话固定攻击 请帮助我,任何示例代码。如果用户通过身份验证后会话无效,他将不再通过身份验证。你为什么要那样做?我看不出重点 要在注销后使会话无效,只需使用session.invalidate()。实际上,我不想使会话无效…登录后,我需要一个新的jsession id以避免会话固定攻击。还想保留所有会话变量/属性。有趣
请帮助我,任何示例代码。如果用户通过身份验证后会话无效,他将不再通过身份验证。你为什么要那样做?我看不出重点
要在注销后使会话无效,只需使用session.invalidate()。实际上,我不想使会话无效…登录后,我需要一个新的jsession id以避免会话固定攻击。还想保留所有会话变量/属性。有趣(我不知道术语会话固定攻击)。不过,解决方案似乎很简单:禁用url重写,只使用cookie:。您还可以在登录时添加自定义cookie,并设置一个筛选器,用于拒绝未使用此cookie值的经过身份验证的用户的请求。我的URL不包含任何jsessionid。会话固定是一种安全攻击,攻击者可以劫持已验证的sessionid并代表受害者进行未经授权的事务。我得到了解决方案,我需要存储所有现有会话数据并使现有会话无效,然后创建新会话并将数据添加到其中。