当前位置: 技术问答>java相关
高分请教:关于JSP中的身份认证问题(安全性问题)
来源: 互联网 发布时间:2015-03-04
本文导语: HTTP协议是没有状态的。那么,在安全性很高的JSP应用中,如何对用户进行身 份验证呢? session对象可以保持状态。它通过Cookie或是URL的参数来传递一个ID,这个ID 标明了一个session(会话),一个会话的所有状态保存...
HTTP协议是没有状态的。那么,在安全性很高的JSP应用中,如何对用户进行身
份验证呢?
session对象可以保持状态。它通过Cookie或是URL的参数来传递一个ID,这个ID
标明了一个session(会话),一个会话的所有状态保存在服务器端。但是这样
的方法很不安全,URL的参数可以从浏览器的地址栏直接看见,Cookie也可以从
浏览器的临时文件夹里找到。
还可以通过隐藏的表单字段来实现状态的保持,但是字段值很容易从历史中的
HTML源代码中看到。
这样的话,如果你的sessoin还没有过期,别人可以用你的sessionID来干任何事
。虽然你可以告诉用户用完以后一点要注销,但是你不能指望他们一定就会这样
做,当出了问题时,他们只会抱怨你的系统不够安全。
这样的问题通常是如何解决的呢?
份验证呢?
session对象可以保持状态。它通过Cookie或是URL的参数来传递一个ID,这个ID
标明了一个session(会话),一个会话的所有状态保存在服务器端。但是这样
的方法很不安全,URL的参数可以从浏览器的地址栏直接看见,Cookie也可以从
浏览器的临时文件夹里找到。
还可以通过隐藏的表单字段来实现状态的保持,但是字段值很容易从历史中的
HTML源代码中看到。
这样的话,如果你的sessoin还没有过期,别人可以用你的sessionID来干任何事
。虽然你可以告诉用户用完以后一点要注销,但是你不能指望他们一定就会这样
做,当出了问题时,他们只会抱怨你的系统不够安全。
这样的问题通常是如何解决的呢?
|
还可以通过隐藏的表单字段来实现状态的保持,但是字段值很容易从历史中的HTML源代码中看到。解决办法:
http://www.csdn.net/oldexpert/TopicView.asp?id=82762&table=200101
如果你的sessoin还没有过期,别人可以用你的sessionID来干任何事
------所以很多网站都有醒目的提醒“确保安全退出,否则后果自负(我加的:-)”。
http://www.csdn.net/oldexpert/TopicView.asp?id=82762&table=200101
如果你的sessoin还没有过期,别人可以用你的sessionID来干任何事
------所以很多网站都有醒目的提醒“确保安全退出,否则后果自负(我加的:-)”。