问题标签 [session-management]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 将用户会话变量存储在文件与数据库中
我有一个 php 应用程序,我正在使用 $_SESSION 本身为用户保存会话变量。将其存储在数据库中有什么特别的好处吗?
我正在寻找一篇可靠/经过充分研究的文章,其中更多地讨论了这一点。我还没有找到任何东西。
java - spring如何对并发控制进行子类化,抛出什么异常?
现在在 Spring security 我有这个代码:
如果有人尝试启动并发会话,则会引发异常。我的应用程序处理异常的方式是捕获它们,然后抛出将显示给用户的自定义异常。我的问题分为两部分。
首先,也是最重要的,我如何创建一个可以提供给会话管理的自定义类,以便它可以捕获旧异常并抛出新异常?在我看来,我需要继承并发控制,并在我的安全上下文中制作某种 bean,但我不知道该怎么做。
其次,将抛出的异常的名称是什么(我需要捕获的异常)?我的猜测是这将是一个 AccessDeniedException,但我不确定。这不像第一个问题那么重要,因为一旦我知道了我必须继承的正确类,我就会知道它可能是什么异常。
谢谢您的帮助,
镜像命运
c# - 在多线程 Windows 服务应用程序中使用的最佳 NHibernate 会话管理方法是什么?
我有一个使用多线程的 Windows 服务应用程序。我在此应用程序的数据访问层中使用 NHibernate。
您对此应用程序中的会话管理有何建议。我读到了 UNHAdins,这是一个好的解决方案吗?
c# - NHibernate 中 Session.Merge 方法的用途是什么?
NHibernate 中 Session.Merge 方法的用途是什么?
我们什么时候可以使用这种方法?
jsp - jsp中用于会话管理的java bean和session的区别
在 jsp 中管理用户会话时,我们有时通过使用 session.setAttribute() 设置变量来使用会话,另一方面,我们可以创建 java bean 对象(将范围设置为会话)来存储用户信息并可以在另一个页面上检索它。谁能告诉我这两件事有什么区别?
java - 设计一个会话管理器
我们有设计会话管理器的规范标准吗?IMO,这些是会话应处理的内容:
- 应该为每个会话分配一个唯一的 ID(会话 ID);
- 应该能够以对的形式维护属性;
- 应该能够检查客户端的可用性(例如,客户端退出);
- 应该能够销毁会话;
- 更多的东西?
我们有会话管理器的一些很好的例子吗?
security - 我可以在机器上/在浏览器中发现另一个用户的 LTPA2 令牌吗?
如果您将 Paros 放在浏览器和 WebSphere 中托管的 Web 应用程序之间的流量上,您将有两个会话标识符作为 HTTP 请求的 cookie 部分的一部分传递:
一个 JSESSIONID。据我所知,这是您的 HTTPSession ID。LTPA2 令牌。就 websphere 而言,这是您的“单点登录”会话。
现在,IBM 表示,当用户退出时,单个托管应用程序不能使 LTPA2 令牌无效。这背后的想法是它是一个 SSO 标识符,因此单个应用程序不应使其无效,因为它旨在跨多个应用程序使用。WAS 中没有配置声明“此环境仅托管一个应用程序,因此该应用程序可以使 LTPA2 令牌无效”。
令人担忧的是,这些 LTPA2 会话会停留一段可配置的时间。因此,如果另一个用户获得了用户的 LTPA2 令牌的句柄,他们可以使用它来访问该用户的会话,从而访问他们的敏感数据。
您可以通过强制通过 SSL 传输 cookie 以及为 cookie 指定 HTTP 来防止中间人攻击捕获会话值。但是,我仍然担心本地机器硬盘上的 cookie 可用。浏览器必须将它存储在某个地方,因此必须有一种方法可以访问它?
我的问题是,是否有人可以从硬盘驱动器中获得这样的 LTPA2 值?假设有人坐在图书馆里,登录他们的网上银行,做一些工作然后退出。下一个用户是否有可能以某种方式获得 LTPA2 令牌?
我尝试搜索我认为 FireFox 4 和 IE8 将存储 cookie 的目录,但无法匹配该值。我的直觉是,有可能在某些浏览器上找到这些数据?
php - 会话管理和安全
这是我当前的会话管理:
我知道更改 IP 问题的计划仅使用 IP 地址的前 3 部分。但我担心的是攻击者能够嗅探标头等。那我就不会被保护了吧?如果我是受害者网络中的攻击者,我只需在嗅探一个响应标头后发出一个快速 GET 请求,我将获得重新生成的随机数。真的有办法防止这种情况吗?
如果它不会太多,我也希望对我的方法有所了解。如何避免这种情况?我错过了什么大事吗?
java - 没有 Cookie 和 URL 重写的会话处理
我有一个旧网站(servlet、JSP 和 Struts)。目前,会话管理使用 cookie 处理。我想重新设计这个网站以使浏览器独立。
我知道有一个替代的 URL 重写,但是,这对我来说重写(编码)我的应用程序中的所有 URL 是不可行的。
我正在寻找一种不会对我的代码产生太大影响的解决方案。如果有人有可行的解决方案,请建议我。这对我会有很大的帮助。
java - 使用 Ehcache 的 WebApp 会话管理
在我的项目中,我使用 ehcache 来存储登录的用户详细信息和其他一些信息(哪个应用程序将在运行时使用它而不是从数据库中获取)。以下是我的ehcache配置:
但问题是大部分时间会话超时发生(即使用户不是非活动状态超过 30)。有时它会持续 10 分钟,...
所有操作都将尝试从 ehcache 中检索每个请求的用户对象。
我不确定 ehcache 将如何确定到期时间。