分布式session的疑惑
来源:6-16 用户Session相关模块重构
寻找小方
2018-04-07
老师你好,关于分布式session我有两个疑惑
1、最开始基于cookie+redis实现分布式session,这种方式安全吗?如果jsessionid被盗取,是不是意味着其他用户也可以登录了
2、spring session这个没看太明白,最终代码里面没有往cookie里面写jsessionid
辛苦老师帮忙解答
写回答
1回答
-
你好,同学,这是一个很好的问题。首先我来回答你
这个当然的啦,目前例如百度,如果禁止cookie,也会提示不让登录,这说明目前的实现方案的普遍性。然后你的问题是这样可以优化的,首先我们再增加一个随机login_token的一个密钥。在后端对密钥和login_token是否满足一组进行校验,来防止一定的盗用jsessionid。
spring session源码部分同学继续看到cookie注入的地方,后面是有源码解析,spring session的jsessionid有一套自己的生成机制。代码里是没有写的,是通过spring session框架来实现。
222018-04-14
相似问题