我正在使用spring security(Forms身份验证)来验证传入的用户。我们使用真实的用户ID和密码登录。现在我只是从浏览器复制JSESSIONID并从android创建新的Http请求并将相同的JSESSIONID传递给spring服务。请求也得到了android的授权。
这意味着一旦获得适当的JSESSIONID,任何人都可以破坏安全性。
我们如何在春季安全中避免这种情况?
答案 0 :(得分:1)
这不是真正的威胁。
您的威胁模型是:用户可以将自己的会话ID进行身份验证并将其复制到他们控制的另一台计算机上。
黑客不能窃取其他人的会话ID。这是重要的部分。