我使用 setAttribute 将用户数据(例如姓名、密码和电子邮件)存储在您的 HttpSession 中。
我想知道将关键数据存储在 HttpSession 中是否安全。
最佳答案
尝试将登录信息存储在以下用户存储库之一(登录时检查有效性):
- 在内存中(比如说,它可以是一个 xml 文件),
- 基于 JDBC,
- 基于 LDAP。
这不是身份验证选项的完整列表。
您至少应该使用 SSL/HTTPS 登录和任何其他敏感数据。
看看这篇文章:http://en.wikipedia.org/wiki/Session_hijacking
这是关于该问题的精彩 SO 讨论:What is the best way to prevent session hijacking?
这里也提到了一些安全问题:What should every programmer know about web development?
关于java - 在 HttpSession 中存储关键数据是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10438245/