-1

我面临一个问题,例如我从 user1 复制 session_id 并在 USER2 中使用相同的 session-id

然后我的会话从 user1 劫持到 user2,我正在使用 Java、tomcat、hibernate、javascript、rest API

任何想法如何解决这个问题。

4

1 回答 1

0

这就是会话的工作方式。除非会话无效,否则它的 id 将客户端和服务器联系在一起。如果您的用户共享他们的用户名和密码,您是否会认为这是安全漏洞或登录如何工作?

除非您想让用户的生活更加艰难。然后您可以检查 IP 地址,但是通过无线连接漫游的笔记本电脑用户或代理后的用户,一旦他们的 ip 更改,就会被踢出他们的会话。

或者您可以对浏览器进行指纹识别,并确定使用会话 ID 的用户与最初获得它的用户不同。

没有一种方法是完美的,所有方法都需要权衡取舍。

于 2020-05-14T07:54:05.953 回答