在Web服务器中实现会话处理的最佳(最安全)方法是什么?我想补充一点,但不知道如何真正实现它。 Cookie是会话处理的“必须”吗? (能够识别哪个会话)
答案 0 :(得分:6)
会话处理并不是您真正关心的问题。它由HttpSession类处理(阅读javadoc中的描述!),您可以通过调用request.getSession()来获取它。
它以两种方式工作(无需你做任何事情来支持它们):
JSESSIONID)附加到网址。(注意:它实际上是由servlet容器(Tomcat,jetty等)处理的,它提供了HttpSession)的实现
答案 1 :(得分:2)
假设您正在讨论servlet容器,则会备份会话处理。请参阅relevant part of if the JavaEE tutorial。它涵盖了会话API,以及如何跟踪会话(cookie或URL重写)。
答案 2 :(得分:1)
会话处理由Web容器处理。如果您希望安全避免窥探,请使用https(在web.xml中强制执行)。
您可能还感兴趣的是用户如何向Web容器标识自己。存在多种选项,其中最安全的是客户端使用带有数字证书的Web浏览器。这很乏味,但非常安全:)