在HttpSession中存儲關鍵數據是否安全?
[英]Is it safe to store critical data in HttpSession?
問題描述
我使用setAttribute將名稱,密碼和電子郵件等用戶數據存儲在HttpSession 。
我想知道在HttpSession存儲關鍵數據是否安全。
2 個解決方案
解決方案1
2 2012-05-03 20:44:22
嘗試將登錄信息存儲在以下某個用戶存儲庫中(在登錄時檢查有效性):
- 內存中(例如,它可能是一個xml文件),
- 基於JDBC,
- 基於LDAP的。
它不是身份驗證選項的完整列表。
您至少應該使用SSL / HTTPS進行登錄和任何其他敏感數據。
看看這篇文章: http : //en.wikipedia.org/wiki/Session_hijacking
以下是關於該問題的一個很好的SO討論: 防止會話劫持的最佳方法是什么?
這里還提到了一些安全問題: 每個程序員應該對Web開發有何了解?
解決方案2
1 2012-05-04 16:29:19
理想的做法是永遠不要在任何應用程序中保存密碼。 理想情況下,如果使用基於數據庫的身份驗證或使用LDAP身份驗證,則需要在DB的用戶表中將密碼加密保存。
成功通過身份驗證后,您可以在http會話中保留電子郵件和姓名等字段。 最好是在會話中保留用戶名(這是唯一的),並且必須通過執行數據庫讀取,基於此用戶名從數據庫中讀取配置文件信息。 可以將這些信息保存在cookie中,以便利用某些信息重新填充頻繁的訪問者。
最重要的是不要將密碼保存在隱藏變量,cookie或查詢字符串中。
必須保留的任何敏感信息必須在會話中加密。
我如何在httpsession中存儲多個會話數據?還有其他存儲方法嗎?
[英]how can i store more than one session data in httpsession?is there any other way to store
HttpSession 線程安全嗎,設置/獲取屬性線程安全操作嗎?
[英]Is HttpSession thread safe, are set/get Attribute thread safe operations?
在Spring的Session / HttpSession對象中存儲對象列表
[英]Store List of objects in Session/HttpSession object in Spring
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
我們可以使用HashMap將共享數據存儲在HttpSession中嗎?
從HttpSession中存儲/檢索常用數據的最佳方法
HttpSession存儲URL
我如何在httpsession中存儲多個會話數據?還有其他存儲方法嗎?
HttpSession 線程安全嗎,設置/獲取屬性線程安全操作嗎?
使用一類存儲數據是否安全?
如何在 HttpSession 中存儲 Java 對象?
在Spring的Session / HttpSession對象中存儲對象列表
我可以在Java HttpSession中存儲整個圖形嗎?
存儲和使來自其他用戶的Java HttpSession無效
相關標簽