ufi*_*fis 5 java jsf httpsession primefaces jsf-2
我最近开始维护在线系统。它在前端使用带有PrimeFaces的JSF,并在Java后端使用。JSF对我来说是一种新技术。
在登录过程中,整个用户表(包括明文密码(将很快得到修复))被加载到HttpSession属性中,并在系统的其他部分中引用。该系统的用户数不到50,因此数据大小对我来说不是什么大问题。
但是,所有用户数据都驻留在会话中这一事实令人担忧。
我是否不必担心,还是有办法通过客户端漏洞利用来访问此信息?我还有其他理由可以作为紧急改写该机制的理由吗?
下面的缩写代码:
login.xhtml
<p:inputText id="username" value="#{userBean.userName}" name="username"></p:inputText>
<p:password id="password" value="#{userBean.password}"></p:password>
<p:commandButton id="loginSubmit" value="Login" action="#{userBean.auth}"></p:commandButton>
UserBean.java
@ManagedBean(name = "userBean")
@SessionScoped
public class UserBean {
public String auth() {
// ...
FacesContext fctx = FacesContext.getCurrentInstance();
HttpSession session = (HttpSession) fctx.getExternalContext().getSession(true);
HashMap<Long, UserDetail> usersMap = dbBean.getAllUserDetails();
session.setAttribute("usersMap", usersMap);
// ...
}
}
虽然评论回答了您的问题,但让我们总结一下:
| 归档时间: |
|
| 查看次数: |
1550 次 |
| 最近记录: |