httpservletrequest - création d'une nouvelle session / modification de l'Id de session

Je suis le maintien d'une application web Java.

En regardant dans le code de connexion, il obtient un HttpSession de HttpServletRequest via le getSession() la méthode de HttpServletRequest. (Il utilise des valeurs dans la session à des fins d'authentification)

Cependant, je suis inquiet de la fixation de session attaques donc après j'ai utilisé de la session initiale, je veux démarrer une nouvelle session ou de modifier l'id de session. Est-ce possible?

InformationsquelleAutor AJM | 2010-02-22
  1. 41

    La Servlet 3.0 API ne vous permet pas de changer l'id de session dans une session existante. En général, pour protéger contre la fixation de session, vous aurez envie de créer un nouveau et de l'invalider l'ancien bien.

    Vous pouvez annuler une séance de

    request.getSession(false).invalidate();

    et puis créer une nouvelle session avec

    getSession(true) (getSession() devrait travailler trop)

    Évidemment, si vous avez une des données dans la session que vous souhaitez persister, vous aurez besoin de les copier à partir de la première session de la deuxième session.

    Remarque, pour la fixation de session de protection, il est communément considéré comme rien de mal à ce faire sur la demande d'authentification. Mais un niveau de sécurité plus élevé implique un jeter les vieux de la session et de faire une nouvelle session pour chaque demande.

    • N'est-ce pas censé donner une NullPointerException lors de getSession n'a pas été appelé avant?
    • Vrai, mais je pense que nous sommes en supposant que la session existe.
    • Je upvote vous si vous avez utilisé getSession() au lieu de getSession(boolean).
    • lol, je m'en souviendrai la prochaine fois ;]
    • Ma question était en supposant que la session existe déjà à ce stade. Merci pour la bonne réponse.
    • vous devez créer une session et supprimez-le immédiatement si elle n'existait pas avant. Pour quoi? request.getSession(false).invalidate(); avec un null-cochez la bonne réponse est.
    • Donc, cette réponse suppose que vous n'avez pas d'autres données importantes dans la session, correct? Et même le jeton d'authentification doivent être propagées à la nouvelle session, correct?
    • Oui, vous avez qu'à copier toutes les données avant de les invalider la session, et vous pouvez définir que les données dans la nouvelle session. Si vous avez une sorte de coutume auth jeton, puis vous avez aussi de la copier.

    InformationsquelleAutor pablochan
  2. 27

    Depuis Java EE 7 et de l'API Servlet 3.1 (Tomcat 8) vous pouvez utiliser HttpServletRequest.changeSessionId() pour parvenir à de tels comportements. Il y a aussi un auditeur HttpSessionIdListener qui sera appelé après chaque modification.

    • Shiro et changeSessionId est une combinaison puissante. Il me permet d'écrire mon lave logique, sans distractions " si(succès) demande.changeSessionId () " pas besoin de réécrire, je suis nere
    InformationsquelleAutor Jakub Kubrynski