W jaki sposób jest generowany identyfikator sesji?

Podczas uruchamiania aplikacji sieciowej Java z apletem apletów (jak strony JSF lub JSP), gdzieś wzdłuż linii generowany jest "unikalny" identyfikator sesji, aby zidentyfikować sesję użytkownika.W jaki sposób jest generowany identyfikator sesji?

Zastanawiam się, jak generowane są te identyfikatory sesji. Czy zawierają adres IP klienta? Znacznik czasu? Losowe liczby?

Po drugie, zastanawiam się, gdzie się dzieje to pokolenie? Czy jest to zależne od serwera, na którym działa aplikacja?

Źródło

2012-10-11 Steven De Groote

Tak to wygląda nie ma out-of-the-box ochrona przed powtórką sesji. Przetestowaliśmy to i naprawdę możesz po prostu manipulować wartością cookie JSESSIONID, aby przejąć sesję innego użytkownika. :( –

Jest specyficzny dla kontenera. Tomcat: http://tomcat.apache.org/tomcat-7.0-doc/security-howto.html#Manager

Źródło

2012-10-11 09:15:16

Okazuje się, że dla Tomcat, ich niedawno wydany Tomcat 7.0.59 ma rozszerzalny SessionIDGenerator http://tomcat.apache.org/tomcat-7.0-doc/changelog.html –

http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.3/javadoc/javax/servlet/http/HttpSession.html#getId()

„Identyfikator przypisany przez kontener serwletów i jest zależna od implementacji.”

Jsessionid jest generowany za każdym razem, gdy tworzona jest nowa sesja.

Źródło

2012-10-11 09:11:49 dvsander

Używany jest zwykle algorytm java.security.MessageDigest.

Zwykle generowany identyfikator jest po prostu zbiorem liczb losowych, aż do wymaganej długości, ale zmienia się w zależności od algorytmów używanych w różnych kontenerach serwletów.

W tomcat6 na przykład spojrzeć na:

ManagerBase.sessionIdLength

ManagerBase.createSession() //which calls generateSessionId()

Zobacz http://www.docjar.com/html/api/org/apache/catalina/session/ManagerBase.java.html

Źródło

2012-10-11 09:25:45 Nic

W jaki sposób jest generowany identyfikator sesji?

Odpowiedz

Powiązane problemy