当用户点击 a 的登录页面Portal
(可能是Liferay
, Jboss Portal
..)时, JSESSIONID cookie
由container
. 在登录页面中输入凭据后,同样JSESSIONID
会被保留。
在这里,最终用户将JSESSIONID
在获得身份验证之前了解(通过JSESSIONID
在登录页面中检查)。这将增加网站被黑客入侵的脆弱性,因为人们可以知道JSESSIONID
在获得身份验证之前。
这篇文章建议JSESSIONID
在认证后有一个不同的。
那么,创建一个新的 JSESSIOND 可以通过正在使用的Portal
服务器(正在使用Liferay CE 6.0
)来实现,还是必须由 Web 应用程序开发人员处理?如果必须由 Web 应用程序开发人员处理,最好的方法是什么? request.getSession(true)
是唯一的选择吗??如果我需要指示在身份验证后Liferay
创建一个新的JSESSIONID
,该怎么做?