Jsession被盗
来源:6-16 用户Session相关模块重构
西瓜大师
2019-03-01
一般jsession都是可以通过cookie获取的,看了看其他问题的答案也明白了许多,无非就是在客户端加上一个密钥标识,利用标识来读取我后端随机生成的密钥,当然这个标识也是可以随机生成的,同步有效期就行,其实这边我建议同步cookie和redis的有效期,要存在都存在,另外必须得更新有效期,以提高用户体验,总不能让人家本来登录的好好的,到期后夸一下子让人家重新登陆了,还以为号被盗了呢。上诉不足的地方,还请老师同学及时提出建议,另外建议看完的朋友也可以看下用户登录安全这方面的东西
写回答
1回答
-
geelylucky
2019-03-01
亲爱的同学,你好,我是geely老师的助教。
其实更新有效期没用,还是存在被盗后有效期延长的安全隐患。
032019-03-01
相似问题