[英]Is it safe to store critical data in HttpSession?
我使用setAttribute
將名稱,密碼和電子郵件等用戶數據存儲在HttpSession
。
我想知道在HttpSession
存儲關鍵數據是否安全。
嘗試將登錄信息存儲在以下某個用戶存儲庫中(在登錄時檢查有效性):
它不是身份驗證選項的完整列表。
您至少應該使用SSL / HTTPS進行登錄和任何其他敏感數據。
看看這篇文章: http : //en.wikipedia.org/wiki/Session_hijacking
以下是關於該問題的一個很好的SO討論: 防止會話劫持的最佳方法是什么?
這里還提到了一些安全問題: 每個程序員應該對Web開發有何了解?
理想的做法是永遠不要在任何應用程序中保存密碼。 理想情況下,如果使用基於數據庫的身份驗證或使用LDAP身份驗證,則需要在DB的用戶表中將密碼加密保存。
成功通過身份驗證后,您可以在http會話中保留電子郵件和姓名等字段。 最好是在會話中保留用戶名(這是唯一的),並且必須通過執行數據庫讀取,基於此用戶名從數據庫中讀取配置文件信息。 可以將這些信息保存在cookie中,以便利用某些信息重新填充頻繁的訪問者。
最重要的是不要將密碼保存在隱藏變量,cookie或查詢字符串中。
必須保留的任何敏感信息必須在會話中加密。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.