会话固定我安全吗?

时间:2015-03-16 13:39:41

标签: security session model-view-controller session-fixation

我正在尝试为我的项目实施防止会话固定的安全性。

由于我无法访问处理整个会话创建和验证的组件(来自某个库的过滤器,我们称之为MagicFilter),我试图找到另一种可能的方法。

现在,请考虑我的会话的这种情况:

  • 用户请求登录页面
  • MagicFilter设置一个带有JSESSIONID等的cookie
  • 其他过滤器做了一些工作......
  • Java Spring MVC,所以在用户看到LoginView之前的最后一步我可以访问我的LoginController中的东西。在我返回视图之前,i .invalidate()会话。

因此,基本上用户在登录页面时从未拥有真实有效的会话ID。只有在他登录MagicFilter之后才会分配另一个会话ID,然后才会坚持,因为我只是invalide()我的LoginController中的会话ID。

但这感觉非常粗糙,我有点不得不" hack"围绕MagicFilter的自动过程。 任何人都可以看到这在会话固定方面是否安全?

0 个答案:

没有答案
相关问题
最新问题