繁体 English 中英

Servlet会话-从URL重写切换到Cookie

[英]Servlet Session - switch from URL Rewriting to Cookie

原文 2010-06-05 11:23:44 9 1 java/ servlets/ single-sign-on/ jsessionid/ session-cookies

情况：我有一个“愚蠢”的Javascript前端，可以联系某种SSO中间件（MW）。 MW可以通过发出包含身份验证凭据（用户名，密码）的请求来获取会话。 即，将为特定用户创建会话。

我的前端需要“重新启动”会话以获得用户对目标系统的许可。 为此，我需要一个有效的会话cookie。

目标系统不受我的控制（可以是或多或少的公共WFS，WMS等），因此我无法向其添加任何SSO机制。

问题：是否可以“窃取”一个会话，以伪造一个请求，该请求的URL在jsessionid参数中包含有效的会话ID？

目标：向Servlet发出这样的请求，并使其以包含相同ID的Set-Cookie标头响应。 这样，前端就可以加入会话，并且可以执行用于创建会话的用户能够执行的任何操作。

1 个解决方案

最好的选择是共享数据源（RDBMS？），其中共享信息存储有一些长的，自动生成的唯一标识符作为键（可能是java.util.UUID ？），然后将该键传递给周围。

Servlet / JSP中的URL重写

[英]URL rewriting in Servlet/JSP

从JSP到Servlet的会话丢失（Cookie更改）

[英]Session from JSP to Servlet lost (Cookie changes)

Servlet会话Cookie篡改和安全性

[英]Servlet session cookie tampering and security

Java Servlet Cookie会话安全性

[英]Java servlet cookie session security

如何在servlet中获取会话cookie名称？

[英]How to get session cookie name in a servlet?

Java Servlet：对于后续请求，会话cookie为null

[英]Java Servlet: Session cookie is null for subsequent requests

没有 Cookie 和 URL 重写的会话处理

[英]Session Handling without Cookies and URL rewriting

使用 JSESSIONID cookie 的 servlet 中的会话处理未获取会话

[英]Session Handling in servlet using JSESSIONID cookie not getting session

URL重写后，所有操作都转发到Struts2 servlet

[英]All actions getting forwarded to the Struts2 servlet after URL rewriting

在Java Servlet上下文中，URL重写和转发之间有什么区别？

[英]In the context of Java Servlet what is the difference between URL Rewriting and Forwarding?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Servlet / JSP中的URL重写从JSP到Servlet的会话丢失（Cookie更改） Servlet会话Cookie篡改和安全性 Java Servlet Cookie会话安全性如何在servlet中获取会话cookie名称？ Java Servlet：对于后续请求，会话cookie为null 没有 Cookie 和 URL 重写的会话处理使用 JSESSIONID cookie 的 servlet 中的会话处理未获取会话 URL重写后，所有操作都转发到Struts2 servlet 在Java Servlet上下文中，URL重写和转发之间有什么区别？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM