如何在邮递员中通过cookie传递会话id并登录?
在邮递员中通过cookie传递会话id并登录的过程可以通过以下步骤来完成:
- 会话管理:使用服务器端生成一个唯一的会话ID,并将该ID与用户的登录状态相关联。在用户登录时,服务器端创建一个会话,并将会话ID存储在服务器的存储介质中(如内存、数据库等)。
- Cookie设置:服务器通过响应头部的Set-Cookie字段将会话ID发送给客户端。在这个过程中,需要设置Cookie的属性,包括名称、值、过期时间、域名、路径等。
- Cookie传递:在后续的请求中,客户端会自动将Cookie发送给服务器,以实现会话的持久化。客户端在请求头部中通过Cookie字段携带会话ID。
- 会话验证:服务器在接收到客户端的请求后,通过读取请求头部中的Cookie字段获取会话ID,并与服务器端存储的会话ID进行比较。如果两者匹配,表示该用户已经登录,并允许用户继续访问受限资源。
- 登录状态维持:服务器在处理每个请求时,可以通过验证会话ID来判断用户是否处于登录状态。如果用户的会话ID与服务器端的存储匹配,则保持用户处于登录状态。如果匹配失败,则要求用户重新进行登录。
下面是这个过程中可能使用到的相关名词和产品介绍:
- 会话(Session):在云计算中,会话是指存储用户状态信息的一种机制,用于在用户访问过程中维持登录状态。腾讯云的会话管理可以参考腾讯云Serverless Framework 文档。
- Cookie:是一种存储在用户计算机中的小文件,用于在客户端和服务器之间传递信息。腾讯云的负载均衡产品CLB(Classic Load Balancer)支持Cookie会话保持,可以参考CLB文档。
- 服务器端存储介质:服务器端存储会话ID的介质,可以是内存、数据库或其他持久化存储方式。腾讯云的云数据库MySQL和云数据库Redis可以作为服务器端存储介质,参考云数据库MySQL和云数据库Redis。
- 请求头部(Request Header):客户端向服务器发送请求时,将请求信息包含在请求头部中。其中,Cookie字段用于携带会话ID。腾讯云的API网关产品支持自定义HTTP头部,可参考API网关文档。
- 会话验证:在服务器端验证会话ID的有效性以确定用户是否处于登录状态的过程。腾讯云的访问管理产品CAM(Cloud Access Management)提供安全的身份认证和授权,可参考CAM文档。
- 登录状态维持:服务器端通过验证会话ID来维持用户的登录状态。腾讯云的Serverless组件SCF(Serverless Cloud Function)可以实现无服务器应用,参考Serverless云函数文档。
需要注意的是,由于您的要求不能提及特定的云计算品牌商,以上仅为一般概念和推荐的腾讯云产品,具体选择和配置应根据实际需求进行。
相关·内容
我只是使用symfony配置Pdo会话,这对我来说工作得非常好,但现在我希望添加一些额外的字段,如用户IP、用户id等,以便稍后为哪个用户从哪个区域登录生成报告,因此我找不到向会话表添加新列的方法,因为它的工作方式有点不同 //services.yaml
Symfony\Component\HttpFoundation\Session\Storage\Handler\PdoSessionHandler:
arguments:
- !service { class: PDO, factory: 'database_connection:ge
浏览 18提问于2019-05-16得票数 2
回答已采纳
3回答
今天,我了解了COOKIES和会话之间的区别。
现在我想创建一个登录。主要想法如下:
$ip = $_SERVER['REMOTE_ADDR'];
$session_ip = $_SESSION['PHPSESSID']['ip'];
if ( (session_id() === $_COOKIE['PHPSESSID']) && ($ip === $session_id) ){
return (true);
} else {
return (false);
}
我想检查一下IP是否与用户上次登录
浏览 10提问于2013-11-22得票数 0
回答已采纳
我的应用程序使用django rest_framework和SessionAuthentication。我可以成功登录,并在cookie中设置会话id和csrf令牌。然而,POST请求仍然抱怨CSRF失败。
使用rest_framework BasicAuthentication登录;会话id和csrf令牌被设置为cookie
复制并粘贴csrf令牌值到Post请求标头,其中键为“”,值来自cookie。
django.middleware.csrf.CsrfViewMiddleware在settings.py中属于中间件类
我和邮递员一起测试
{“详细信息”:“CSRF失
浏览 2提问于2017-06-07得票数 5
我通过邮递员点击HTTP从一个网站获取一些数据。它对我来说很好,但是从最近几天开始,它给了我一个错误。
无效csrf令牌403
因此,当我检查的开发工具的色度,我转到网站的网络选项卡,并检查API。
因此,现在站点还在标头字段中发送CSRF-令牌。
因此,我知道可以生成csrf令牌的API。
我还从API获得令牌,并像在原始站点中所做的那样发送带有标头的令牌。
但是我想知道为什么每次API返回时无效csrf令牌
是否可以通过邮递员发送CSRF令牌。因为据我所知,csrf令牌用于停止伪造请求。站点有一个带有csrf令牌隐藏字段的表单,当表单提交时,浏览器从该隐藏字段获取令牌,并像
浏览 3提问于2018-07-25得票数 6
我正在使用PAW测试本地应用程序上的API路由。访问权限(在此阶段)是通过会话cookie授予的,会话cookie是在通过站点登录应用程序时生成的(浏览器,特别是Chrome)。
我可以从Chrome手动地将会话cookie复制到PAW中(而且它可以工作),但是考虑到我每天都需要这样做,这是很乏味的。
有没有办法(像邮递员一样)从Chrome抓取/截取cookies?
浏览 6提问于2015-11-24得票数 1
回答已采纳
在我编写的应用程序中,我一直在用户浏览器中保存一个cookie,其中存储了会话ID,该ID被用作对数据库中存储的会话的引用,其中包含用户信息,包括用户是否正确登录的事实。
我想检查我的解决方案的安全性,我开始研究我应该如何在登录时设置cookie,在服务器端存储会话中存储什么,以及如何在注销时销毁这些信息,因为到目前为止,我的用户登录了很长时间,这不是我的本意。
关于如何在Flask中正确处理整个用户登录/会话/注销问题,我没有确切的答案-一些人在谈论使用Flask的Response.delete_cookie()函数,另一些人使用.set_cookie()在到期时间为零的情况下终止它,其他人
浏览 0提问于2013-12-02得票数 11
在登录到asp.net应用程序之前,我检查了标头,cookie头cookie中已经有一个会话id : ASP.NET_SessionId=3de0es3brpfbcmvkzhkidsmt。
当我登录到应用程序时,那里有相同的cookie头。当我通过从请求中删除此cookie头发送请求时,我将被注销。所以我的问题是那边发生了什么?是什么虫子吗?请详细说明。谢谢
浏览 0提问于2016-07-24得票数 1
1回答
PHP不读取会话id
、、、
在我的网页上,我有一个创建会话的登录表单--但是PHP似乎不承认它:
require_once('globals.php');
require_once('header.php');
if(!isset($_SESSION) || session_id() == '')
{
$x = (isset($_SESSION));
var_dump($_SESSION['username']);
?><br><?PHP
var_dump(session_id());
?>
浏览 1提问于2016-07-16得票数 0
回答已采纳
我正在开发一个ASP.Net MVC 2应用程序,作为SalesForce.com中的一个复合应用程序。对于那些不熟悉SalesForce.com的人来说,这是一个互联网上的客户关系管理平台。复合应用程序是什么--它简单地显示在一个iframe中的一个单独的选项卡中。因此,当用户登录到salesforce.com时,该用户会看到一堆选项卡。当用户单击应用程序的选项卡时,我的应用程序是可用的。然后,SalesForce.com将url传递给我的应用salesforce的会话id,我可以使用它来访问salesforce数据,而不需要用户登录。我可能失去了很多用户,他们只会说:“嘿,这是salesf
浏览 4提问于2010-10-31得票数 0
3回答
这是我的脚本:
<?php
// If the user is logged in, delete the session vars to log them out
session_start();
if (isset($_SESSION['user_id'])) {
// Delete the session vars by clearing the $_SESSION array
$_SESSION = array();
// Delete the session cookie by setting its expiration
浏览 0提问于2014-01-24得票数 5
回答已采纳
首先,我有点机智。我一直在寻找解决方案,除了似乎没有帮助的死胡同之外,我什么也找不到。我是一个业余开发人员,在一个大型和成熟的网站上工作。
下面的代码片段显示了我们的登录系统。
HTML
<form action="/script.php" method="post" id="loginvbform">
<div>
<input type="hidden" name="function" value="Login" />
浏览 0提问于2016-06-30得票数 1
我试图从网址上获得比赛数据:"“
如果你去这个网址,而不是登录,它会重新引导你到大厅。如果你登录了,它会给你展示比赛的结果。
,以下是我尝试过的一些事情:
-First,我在手动登录时使用Chrome网络工具来监视请求
然后,-I尝试复制我认为包含身份验证信息的cookie,它的形式如下:
'ajs_anonymous_id=%123123123123123, mlc=true; optimizelyEndUserId'
然后,-I将该cookie存储为环境变量,并运行以下代码:
HEADERS= {'cookie': os.environ['
浏览 5提问于2016-12-01得票数 2
我正在开发一个社交网络,据我所知,在用户登录的页面之间存储的最好方法是使用cookie。因此,假设我存储的是登录的用户ID的cookie。
无论如何,是什么阻止用户改变cookie的价值来欺骗网站以为他们是以其他人的身份登录的呢?
浏览 0提问于2017-06-07得票数 3
回答已采纳
我想转到使用Cookie进行身份验证,我想出了以下代码,并将在我的user_check.php页面中实现类似以下内容。
$username = $_POST['username'];
$ClientIP = $_SERVER['REMOTE_ADDR'];
date_default_timezone_set('Europe/London');
$date = date('m/d/Y h:i:s a', time());
$LoginAudit = $Con->prepare("INSERT INTO loginau
浏览 0提问于2012-12-21得票数 0
回答已采纳
3回答
我有一个“记住我”选项的登录页面。
如果用户希望使用“记住我”选项将他的凭据保存在系统中,则使用cookie保存详细信息。
下次用户访问该站点时,凭据将按预期从cookie中提取。
我注意到,由于这些值在cookie中保存时没有加密。因此,我可以使用铬的“检查元素”来查找密码文本框(取自cookie)的值。
以任何方式我都能阻止这一切。任一
在保存到cookie时加密这些值
即使用户“检查元素”,他也无法看到文本框的值(我猜几乎不可能)。
浏览 5提问于2013-12-06得票数 0
回答已采纳
在web应用程序的上下文中,用户连接到此应用程序,并设置会话id cookie来验证用户的下一个请求。由于cookie实际上是在提交登录表单之前出现的,因此在登录成功时没有生成新的值,相反,cookie中的值是按原样计算的。例如,普通用户可以选择将值设置为‘0000000000000000000000000000’。
现在我不知道了,但可能有一种方法,攻击者可以在登录之前设置受害者的cookie值,登录成功后,该值对服务器有效并被接受,然后攻击者可以使用该值输入受害者的帐户。
因此,服务器不一定选择会话id cookie的值,这是否存在安全风险?
编辑:关于第一个答案的一些精确性。我删除了标签
浏览 0提问于2013-04-30得票数 6
回答已采纳
这个问题很简单,但当我登录我的网站后,我在浏览器中查看cookie信息,只看到PHPSESSID cookie时,我问了我这个问题。
那么Symfony在哪里存储了登录cookie,我可以在哪里看到它?
浏览 6提问于2016-09-16得票数 1
回答已采纳
2回答
我一直在研究在我的网站上实现持久化登录的最好方法(也是最安全的),我想出了以下几点:
当用户登录时,会创建一个cookie,其中包含用户的ID/用户名,以及随机生成的数字(令牌)。令牌与用户ID/用户名一起存储在关系表中。每次只加载一个成员页面时,就会对照关系表检查这个cookie,如果它存在并与令牌匹配,则登录是有效的,并且页面可以加载。但是,如果没有,则登录无效,cookie将被销毁,用户将被提示登录。
我在想..。为了保存每次加载页面时对数据库的访问,我还可以有一个会话变量,该变量持续10分钟,并在浏览器关闭时自动销毁。如果会话是活动的,那么它将被刷新,用户可以继续。如果会话过期,但co
浏览 2提问于2012-12-19得票数 1
回答已采纳
我正在构建asp .net mvc项目,我希望保存当前登录的用户,因此我阅读了有关会话和cookie的内容,发现存储在cookie中的身份验证令牌是解决问题的方法,因此我阅读了它们,并且需要知道在这里实现到现在为止所得到的任何内容之前,我是否理解这一点:
用户登录后,我将生成一个身份验证令牌(使用GUID生成方法)。
生成的身份验证令牌存储在客户端浏览器中的cookie中.(我不知道如果有人能为我画出这个东西,听起来能接受多久)
生成的身份验证令牌存储在我的数据库中(为进一步的安全性使用SHA256散列方法),并对应于它的用户帐户id及其帐户类型(用户或管理员)。
我首先检查cookie,知道
浏览 0提问于2020-06-20得票数 2
回答已采纳
我使用selenium 3.141.0和chromeDriver86.0.4240.22登录到一个网站,存储cookie。在下一次会议期间,我希望使用现有的cookie来防止再次登录。但是,它不起作用。一切看起来都运行得很好,但是站点并没有对现有的cookie进行攻击。我能做什么?
options = Options()
options.add_argument('--dns-prefetch-disable')
options.add_argument('--no-sandbox')
options.add_argument(&
浏览 9提问于2020-10-21得票数 0
回答已采纳
1回答
我正在使用“快速会话”模块运行一个Node.js/Express应用程序来处理会话变量。在我尝试删除会话数据和cookie之前,一切看起来都很好。实现这一目标的代码如下:
if (typeof req.session.user != "undefined") {
req.session.destroy(function(err) {
res.cookie("connect.sid", "", {
path: "/",
httpOnly: true,
secure: false,
浏览 3提问于2021-07-12得票数 1
回答已采纳
1回答
我想使用RestAssured框架来测试我的Java Spring API。API的工作方式是,您必须使用JSON格式的用户名和密码通过POST登录/session/login,例如:
{"username":"testuser","password":"testpassword"}
如果用户名和密码正确,则会返回一个会话cookie,然后可以使用该cookie来确定用户是否已登录。我似乎找不到一种方法来使用RestAssured的auth()函数来实现这一点。我该怎么做呢?
浏览 0提问于2017-03-19得票数 0
当用户注销(或登录)时,我希望确保用户会话cookie的值被更改。我该怎么做呢?如果我只是这样做,session.invalidate()不会返回会话Cookie头,因为没有活动会话,因此cookie保持不变。如果我执行cookie来创建一个新会话,新会话将获得相同的sessionId,因此cookie也保持不变。
(我想更改会话Cookie值,因为我们有几个WAR共享一个sessionId,而且我也不能轻易地使其他WAR中的会话无效。)
浏览 2提问于2012-11-14得票数 1
我有一个android应用程序,在成功登录后获得json字符串中的会话id。现在,我希望将该会话id存储在cookie中,并检索该cookie以便在进一步的请求中再次发送。现在请告诉我如何持久地存储和检索cookie
浏览 1提问于2014-04-25得票数 1
1回答
跨域和共享多个域的PHP会话
、、、、
我现正尝试设立以下项目:
login.domain.com
site1.domain.com
site2.domain.com
https://domain2.com
如果用户访问site1.domain.com或site2.domain.com,但没有登录,则重定向到login.domain.com/?url=site1.domain.com。
在php应用程序domain.com上。Im使用redis设置php.ini会话。
session.save_handler=redis
session.save_path="tcp://127.0.0.1:6379?weight=1&
浏览 0提问于2016-04-11得票数 0
回答已采纳
2回答
我需要在登录后保留会话id。我的会话id cookie被标记为HttpOnly。这种设置是绝对安全的吗?如果我的会话cookie是HttpOnly,攻击者有没有可能进行会话固定攻击?
浏览 8提问于2017-07-13得票数 1
1回答
在我的Cakephp应用程序中,我有一个名为“my_cookie”的会话cookie,它包含一些随机值'QSD5111AS552DNJK‘。
我观察到cookie的值是相同的(登录前和登录后也一样)。如果我想在登录后更改cookie值,我必须遵循哪些步骤。以及我在core.php文件中的代码
Configure::write('Session', array(
'defaults' => 'php',
'cookie' => 'my_cookie',
'ti
浏览 4提问于2015-07-02得票数 4
回答已采纳
1回答
我有一个要求,其中会话id应该在登录之后无效并且新的会话id应该重新生成,
像这样,Pre-cookie和Post Cookie不应该是相同的,Post cookie应该在服务器端验证。
我使用这段代码来使会话无效:
req.getSession(false).invalidate();
req.getSession(true);
我可以更改会话id,但它将注销。我使用burp工具套件测试了相同的场景。我得到的结果是:
登录时:
Cookie: navi=1-1-0-; SOSESSIONID=pxtc730f4259; SSO_ID=4419102748602016135; CSSOSES
浏览 7提问于2017-08-07得票数 0
5回答
我正在制作一个登录脚本,我希望尽可能安全。问题是,安全似乎是一场永无止境的战斗。因此,本质上,我正在寻找建议和改进我的想法。
我所拥有的是一个完全基于会话的登录。每当会话信息发生更改时,都会调用session_regenerate_id()以避免明显的劫持企图。
当会话未设置时,我将检查cookie是否有效登录,如果成功,将更新会话。
我试图通过添加一个散列值以及一条唯一的用户信息(比如用户名或id)来保护cookie。该哈希由各种信息组成,包括用户名/id、无法解密的密码哈希、IP地址的一部分等。通过从cookie中提取用户名/id,我可以从有效的用户信息中提取一个新的哈希,并将其与cook
浏览 3提问于2011-03-25得票数 15
回答已采纳
Jmeter是新手,所以我不确定我的设置是否正确。 基本上,我有这些API集,我需要执行测试。从从Jmeter建立基本连接开始-我从cloudflare收到1020错误 Access denied | "domain" used Cloudflare to restrict access和<div class="cf-alert cf-alert-error cf-cookie-error hidden" id="cookie-alert" data-translate="enable_cookies">Please
浏览 262提问于2020-09-11得票数 1
1回答
我创建了一个自定义模块,它具有以下hook_init()实现。
function gate_init() {
$curr_uri = check_plain(request_uri());
if (strpos($curr_uri, 'admin') === FALSE) {
if (strcmp($curr_uri, '/gate') != 0) {
if (!sess_read(GATE_SESSION_NAME)) {
if (!isset($_COOKIE[GATE_COOKIE_NAME])) {
浏览 0提问于2011-05-04得票数 0
回答已采纳
我有一个几乎-新的Sails.js 1.0.2应用程序,我可以登录的浏览器和邮递员。然而,我似乎无法使相同的进程在我的测试运行程序中工作。
下面的测试将导致成功的登录,其中一个cookie将带有一个新的会话ID返回。如果我将安全配置更改为禁用,它将完美地运行。但是,在启用安全性的情况下,请求被禁止(403)。我在邮递员中发送的东西之间唯一的实质区别似乎是摩卡在另一个端口上运行这个应用程序(邮递员发送给localhost:1337,express‘res变量),PUT /api/v1/entrance/login HTTP/1.1 Host: 127.0.0.1:56002说
有人看到我遗漏的东
浏览 1提问于2018-08-24得票数 2
回答已采纳
3回答
对于需要登录凭据的web服务,基于cookie的身份验证似乎是当今的明确选择。
但是,如果您正在开发一个web服务,其中客户端不是浏览器,而是通过HTTP访问资源的客户端软件(例如移动应用程序),您会使用HTTP身份验证还是cookie身份验证?
HTTP:
Web服务器处理身份验证,因此在需要时更改web应用程序平台更容易。
自动应用于非代码资源(例如,JPG、XML等)(侧Q:有没有一种使用基于cookie的auth的方法?)
更难将数据库存储的凭据与服务器auth集成(..htaccess/..htpasswd)
Cookie Auth:
细粒度访问控制(代码资源
浏览 7提问于2011-02-09得票数 1
回答已采纳
1回答
平均栈上登录系统的体系结构?
、、、、
我正在平均堆栈(MongoDB、Express、AngularJS和node.js)上开发一个web应用程序。我正在开发一个登录系统,并将有一些角路由保护,以便只有登录用户可以访问他们。我试着想出最好的方法来接近这个体系结构。
我在想当前的工作流程:
用户通过AngularJS表单登录,该表单向Express端点发送一个http。端点根据数据库验证用户,并使用OAuth令牌和cookie进行响应。这两种方法都存储在mongo数据库中,以供以后验证。
一旦AngularJS接收到登录响应,它就使用ng- cookie存储接收到的cookie,并将OAuth令牌存储在用户服务中。
每当
浏览 5提问于2013-10-04得票数 14
回答已采纳
我试图在登录后更改vaadin中的JSESSIONID。
这是我的密码
System.out.println("0000.....OLD-SESSION: " + VaadinSession.getCurrent().getSession().isNew());
System.out.println("0000.....OLD-SESSION-ID: " + VaadinSession.getCurrent().getSession().getId());
VaadinSession.getCurrent().getSession().invalidate();
浏览 7提问于2016-04-10得票数 0
系统是opencart,但不管怎样,我描述了这种情况。
目前,我的网站每天有大约500名独立访问者。从一段时间以前,我开始收到投诉,说一个用户已经登录,但看到她/他确实登录到了另一个用户的帐户。我想到的是受害者客户的会话id被分配给新的客户。不管怎样,让我困惑的是:
1-访问者数量不会高到导致会话ID重复的程度。2-它发生得很突然。
我使用Nginx和Apache (nginx作为反向代理),文件会话处理器和php-fpm。只是为了提供额外的信息。
在我的php.ini中,熵长度是32,它被设置为使用/dev/urandom。
另外,我粘贴了简单的opencart的session.php库文件
浏览 16提问于2018-02-28得票数 1
当客户端通过浏览器(即登录请求)请求SSL web资源,然后跟进附加请求时,是否所有的请求都在同一个SSL会话中执行?还是浏览器使用每个请求创建并删除会话?
服务器是否仅通过通过SSL协议加密的cookie来跟踪这些请求的会话状态,或者是否有任何通过SSL提供的功能,其中服务器知道初始请求来自与以下请求相同的浏览器?如果只是通过加密的cookie,那么如何防止某人以某种方式欺骗cookie值并使用该伪造的cookie发出请求,从而模拟原始用户呢?
浏览 0提问于2016-02-10得票数 16
我想自动化登录过程中的一个网站。
登录过程需要多个请求来收集cookie,并根据这些cookie设置表单值。使用几个C# HttpWebRequests,我得到了最后一个HttpWebResponse返回我想要的数据的地方,这表明我已经成功地进行了身份验证。
是否可以在浏览器中打开此会话,以便在页面打开时登录?我开始认为这是因为我的会话被绑定到JSESSIONID cookie,并且我不知道如何在浏览器中手动设置它。
谢谢。
浏览 4提问于2016-03-08得票数 1
回答已采纳
使用与,剃刀页。还使用Cookie身份验证
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
问题-
在web应用程序中,John登录了2次
第一次登录Chrome
第二次登录在边缘
所以,如果约翰再次尝试第三次登录火狐而没有从以前的浏览器注销,那么我想从第一登录Chrome强制注销John。
我可以跟踪会话表中的登录情况,包括会话Id、用户Id等,但我不知道如何使用会话Id从特定会话中注销用户。
请帮帮忙。
谢谢
浏览 5提问于2020-07-27得票数 7
回答已采纳
我发现IE8有一个相当重要的问题,就是将cookie过期时间设置为0(以便用户在关闭浏览器时注销)。似乎每个新的选项卡或窗口都被算作一个新的会话,所以如果用户在新的选项卡/窗口中打开站点上的页面,他们必须重新登录,除非他们选择了保持登录的选项,这使得cookie持久化,不会造成任何问题。必须有一种方法可以让它像过去那样工作,而不会强迫我的用户在关闭浏览器后仍保持登录状态。如果这很重要,我会像这样设置来自pHP的cookie:
setcookie("username",$username,0," ",".example.com");
浏览 2提问于2009-12-27得票数 1
回答已采纳
1回答
我使用PHP5.4.36、Apache2.2.15、CakePHP 2.5.6.
当访问者单击“登录”按钮时,我将检查会话数据。
如果用户已经登录,我将用户重定向到成员部分。
如果用户没有登录,但是用户有登录,请记住cookie,我还将用户重定向到成员部分。
如果用户未登录,则没有rememberme cookie,则将用户重定向到登录表单。
如果用户未登录,则存在rememberme cookie,但没有会话id cookie和会话文件,我将创建新的会话和会话cookie。
因此,在最后一种情况下,有时用户可以同时打开两个登录页面.
在这种情况下,打开了2选项卡.
浏览 3提问于2015-01-08得票数 2
我工作的一个产品得到了潜在客户的严格安全审计,他们对Tomcat在身份验证之前设置JSESSIONID cookie感到不安。也就是说,Tomcat在加载无状态登录页时(但在登录之前)设置此cookie。
他们提出下列任何一项建议:
登录后发出新的JSESSIONID cookie
防止JSESSIONID首先在登录页上设置(即在身份验证发生之前)
我一直在浏览这个网站上所有与JSESSIONID相关的内容,找不到一个简单的答案。我只是希望有一些想法。我对每个方案的最佳解决办法是:
登录后,复制会话(减去id),复制所有属性,使旧会话无效,创建新会话,复制值,将其与请求关联
浏览 12提问于2011-11-17得票数 34
回答已采纳
1回答
我创建了简单的scriptsso来登录到同一个域中的两个应用程序。
在应用程序A中,我用用户名生成令牌,然后在存储中保存这个日期。
$token = $_COOKIE['PHPSESSID'].'&'.$user;
file_put_contents('/'.$_COOKIE['PHPSESSID'].'.txt',$token);
应用程序B检查是否存在session_id =$_COOKIE‘’PHPSESSID‘的文件
if(file_exists('../../appA/'.
浏览 8提问于2022-06-30得票数 0
回答已采纳
1回答
我应该从外部站点获得一个受保护的页面,如果我直接调用它,我会得到一个错误:
错误的请求
邮差:
但是,如果我通过邮递员调用具有有效凭据的登录页面:
然后从我得到保护页面的同一个邮递员中召回相同的资源页!
我必须在网站上找到同样的页面。我试图通过以下方式来实现它:
var loginXml = "<Request><MsgType>Authenticate</MsgType><SubMsgType>Login</SubMsgType><UserID>my_
浏览 0提问于2019-01-23得票数 0
回答已采纳
我正在关注。现在在第8章,它谈到了会话。我正在尝试验证每次用户注销时会话cookie是否已销毁
我使用Firebug->cookie选项卡来验证这一点。但我注意到,无论我是否登录,总会有一些会话。
我注意到的唯一区别是在登录之前、有效登录之后和注销之后都有一个新的会话id。
所以我的问题是为什么每次都会有一些会话
浏览 1提问于2016-09-23得票数 2
几天前,我在金字塔框架上推出了我的网站,我选择了使用pyramid_beaker的session.type = cookie。所以在cookie中,我加密了user_id,看起来如下:
usr: "d79c098d69c26a4a85459acf03104ad74f3a22de1!userid_type:int"
# for example here is encrypted id 1
而不是我试着代替曲奇。我在id 2下登录,更改了以前的cookie,现在我在id 1下自动登录!
正常吗?安全吗??它的超级算法比加密有什么用?那么,某些病毒可以窃取用户的cookie并在他的
浏览 2提问于2012-02-14得票数 2
回答已采纳
在大多数情况下,我喜欢使用cookie来记住用户返回我的网站。
在我早期/愚蠢的日子里,我会将一个UserID (自动增量整数)存储在cookie中,如果用户返回,我将使用该cookie值自动登录。这是个坏主意,因为有人可以轻松地编辑cookie,使用不同的整数并以其他人的身份登录。
如果UserID是GUID,以同样的方式存储UserID可以吗?
存储“记住我”饼干的最佳实践是什么?
浏览 0提问于2010-07-09得票数 8
在PHP网站上,声明“开发人员不能使用长生命周期的会话is进行自动登录,因为这会增加会话被盗的风险。”相反,建议使用安全的一次性散列密钥作为使用setcookie()的自动登录密钥-这将成为一个持久的cookie。
但我不明白这怎么会更安全呢?
带有令牌的持久cookie也可能被窃取,如果你确保你的网站永远不会只使用HTTP,而只使用HTTPS - like与HSTS,并且还通过httponly阻止JavaScript访问,那么窃取会话ID是非常困难的。
这里我漏掉了什么?
浏览 7提问于2021-11-13得票数 0
我们有两个不同的web应用程序,具有不同的服务器、堆栈等。让我们将一个称为host.example.com的主机,另一个称为client.example.com的客户端。
我们希望我们的用户登录到主机,并将他们的证书和其他一些信息(真名、电子邮件地址、道布等)传递给客户。做这件事最好的方法是什么?在主机上查看页面时,用户从Javascript请求访问客户端。
标准:
最重要的标准是,对主机的更改应该尽可能简单和容易。
我们不能重定向用户(尽管他们的JS请求是公平的)
主机必须与平台无关。客户端是上的Django,但我认为这并不重要。
我们想到了两个选项:
客户端上用于传
浏览 5提问于2010-01-07得票数 3
4回答
好吧,是的,我已经读过关于这个主题的其他Q了,但我还有几个问题,有些Q已经有好几年了。
无论如何,我正在为一家保险公司建立一个包含敏感客户信息的管理cp。例如密码、社保号码和drivers #。
首先问: php会话和cookies哪个更安全?根据我对cookie的理解,您可以将其限制为仅限http和SSL。我不知道你是否能对php会话做同样的事情。似乎php会话也只是快速的cookie。Cookie看起来更灵活,也更可靠。仅供参考,我只将Cookie与http和SSL一起使用。在我的例子中使用php会话有很好的理由吗?
第二个问题:我的会话/登录是这样的:*密码被加盐和哈希处理*会话长度为3
浏览 4提问于2011-09-26得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
