客户要求对我们的 Java 网络应用程序进行一些安全增强,包括以下内容:
According to our security team good security practices state that session id should be changed on every request to prevent session hijacking.
我理解在身份验证时分配新 session ID 的重要性(我们已经这样做了),但这个要求似乎有点极端。
如果在每个请求的基础上重新分配,听起来它不再是一个 session ID,而是一个可以与 session ID 结合使用的一次性请求 ID。
那么,我的问题是:这种策略真的是一种常见的安全做法吗?如果是这样,有人可以指出关于该主题、实现技巧等的良好讨论吗?
最佳答案
这并没有什么坏处,但它可能真的很复杂,实际上您只需要在安全级别更改时重新生成 session ID。另见 Session Hijacking - regenerate session ID on Security StackExchange .
关于java - 为每个请求分配新 session ID 的良好做法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14269165/