javascript - 我们观察到 user1 可以通过更改会话 ID 来访问 USER2
问题描述
我面临一个问题,例如我从 user1 复制 session_id 并在 USER2 中使用相同的 session-id
然后我的会话从 user1 劫持到 user2,我正在使用 Java、tomcat、hibernate、javascript、rest API
任何想法如何解决这个问题。
解决方案
这就是会话的工作方式。除非会话无效,否则它的 id 将客户端和服务器联系在一起。如果您的用户共享他们的用户名和密码,您是否会认为这是安全漏洞或登录如何工作?
除非您想让用户的生活更加艰难。然后您可以检查 IP 地址,但是通过无线连接漫游的笔记本电脑用户或代理后的用户,一旦他们的 ip 更改,就会被踢出他们的会话。
或者您可以对浏览器进行指纹识别,并确定使用会话 ID 的用户与最初获得它的用户不同。
没有一种方法是完美的,所有方法都需要权衡取舍。
推荐阅读
- r - 调整 R 注释中的 y 轴,使其可见(使用“绘图”命令)
- sql - 如何使用正则表达式识别特定模式之间的单词:Oracle?
- wordpress - 如何从 woocommerce 支付屏幕获取订单信息?
- google-sheets - 谷歌表格公式计算具有不同开始/结束日期、重叠和差距的任务的实际总持续时间
- c++ - Qt TCP 服务器不从客户端读取数据
- java - 如何在java中按第二个参数对列表进行排序?
- android - Currency NumberFormat 在调用 `parse` 后更改了 `format` 行为
- javascript - 重置表单时,样式单选按钮不会取消选择
- python - 每次按钮打开时,Raspberry Pi 都会闪烁 LED
- ruby-on-rails - 无法在 Rails 上运行迁移