java – JSESSION / HTTPSession与应用程序制作的会话ID
在基于专有MVC和授权模型的Web应用程序中,我们最近迁移到了
Spring MVC.
作为该移动的一部分,我们还在考虑从每个请求传递的本地创建的GUID转移到基于cookie的会话ID. 从表面上看,看起来好像在我们的情况下,这样做将是一个很大的缺点,因为标准的JSESSION / HttpSession似乎是所有安全邪恶的根源: >会话修复(现有代码会话仅在成功登录后创建,因此我们永远不需要使会话无效(). 所以,除了“标准”的明显优势之外,还有任何关于我为什么要进入JSESSION路线的线索? 解决方法
关于为什么你应该或不应该使用jsession,并不是一个明确的答案,但对你的担忧仍然有一些评论:
>您的应用程序不应该依赖于会话存在与否的事实.它应该依赖于会话根据您放在其上的某些规则有效的事实(用户身份验证,分配给该用户的角色等) 现在,无论你选择什么选项,都会有一些缺点.在每个请求中(因此可能在每个GET URL中)具有UUID不允许您的用户轻松使用书签.也不保持他们的会议活着. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |