[英]Servlet Session - switch from URL Rewriting to Cookie
情况:我有一个“愚蠢”的Javascript前端,可以联系某种SSO中间件(MW)。 MW可以通过发出包含身份验证凭据(用户名,密码)的请求来获取会话。 即,将为特定用户创建会话。
我的前端需要“重新启动”会话以获得用户对目标系统的许可。 为此,我需要一个有效的会话cookie。
目标系统不受我的控制(可以是或多或少的公共WFS,WMS等),因此我无法向其添加任何SSO机制。
问题:是否可以“窃取”一个会话,以伪造一个请求,该请求的URL在jsessionid参数中包含有效的会话ID?
目标 :向Servlet发出这样的请求,并使其以包含相同ID的Set-Cookie标头响应。 这样,前端就可以加入会话,并且可以执行用于创建会话的用户能够执行的任何操作。
最好的选择是共享数据源(RDBMS?),其中共享信息存储有一些长的,自动生成的唯一标识符作为键(可能是java.util.UUID
?),然后将该键传递给周围。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.