java - 为每个请求分配新 session ID 的良好做法?

标签 java session-cookies sessionid

客户要求对我们的 Java 网络应用程序进行一些安全增强,包括以下内容:

According to our security team good security practices state that session id should be changed on every request to prevent session hijacking.

我理解在身份验证时分配新 session ID 的重要性(我们已经这样做了),但这个要求似乎有点极端。

如果在每个请求的基础上重新分配,听起来它不再是一个 session ID,而是一个可以与 session ID 结合使用的一次性请求 ID。

那么,我的问题是:这种策略真的是一种常见的安全做法吗?如果是这样,有人可以指出关于该主题、实现技巧等的良好讨论吗?

最佳答案

这并没有什么坏处,但它可能真的很复杂,实际上您只需要在安全级别更改时重新生成 session ID。另见 Session Hijacking - regenerate session ID on Security StackExchange .

关于java - 为每个请求分配新 session ID 的良好做法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14269165/

上一篇:java - 从 Java API 打开 x509 证书存储

下一篇:Java - 将字节从流(带偏移量)转换为整数

相关文章:

java - 我可以用 Java 构建有吸引力的 GUI 吗?

java - 如何使用 JAXB 忽略绑定(bind)到 XML 的字段

java - 检索 session token

PHP/MySQL 代码不会将用户 ID 和密码插入表中

asp.net - SQL Server中保存的SessionId与asp.net运行时生成的SessionId不同

java - EntityManager.getResultList() 中的重复结果

java - 提高欧拉数并行计算的性能

ruby-on-rails-3 - Rails 应用程序上的 C# 客户端 HttpWebRequest 并重用 session

IIS Web Farm 上的 session Cookie

php - 使用更多 cookie 而不仅仅是 session 哈希进行身份验证的原因是什么?

©2024 IT工具网  联系我们