标签: session-cookies

我工作的产品得到了潜在客户的严格安全审核,他们对Tomcat在认证发生之前设置JSESSIONID cookie感到不安.也就是说,Tomcat在加载无状态登录页面时设置此cookie,但在登录之前.

他们建议以下任何一种:

1. 登录后发出新的JSESSIONID cookie
2. 防止在登录页面上首先设置JSESSIONID cookie(即,在身份验证发生之前)

我一直在浏览这个网站上与JSESSIONID相关的所有内容,但却找不到简单的答案.我只是希望有一些想法.我最好的解决方案是:

1. 在登录后,通过复制所有属性,使旧会话无效,创建新会话,复制值,将其与请求相关联以及希望它起作用来克隆会话(减去id).
2. 在链的最末端创建一个servlet Filter,在最初加载Login Page之前去除JSESSIONID cookie.然后希望登录请求在没有设置JSESSIONID的情况下运行.

我得睡一觉,但早上会尝试这些.能够比我更聪明的人得到一些反馈或更好的建议真是太棒了 - 就像你一样!

无论如何,我会在这里发布我的结果,因为似乎很多其他人都想做类似的事情.

我了解您可以在启动应用程序时设置maxAge,如下所示:

connect.session({ secret: 'keyboard cat', cookie: { maxAge: 60000 }})

但是,我想按照"记住我"的设置实现一些东西,我该怎样做呢？

非常感谢 :)

贾森

因为快递集团没有答案,所以提出这个问题.

我正在设置会话maxAge = 900000,我看到会话cookie上的expires属性设置正确.但是,在后续请求中,不会延长超时.它永远不会扩展,cookie最终会过期.

该会议中间件文档说,活动#触摸()是没有必要的,因为会议将中间件为我做到这一点.我实际上尝试req.session.touch()手动调用,但没有做任何事情,我也试过设置maxAge req.session.cookie也没有做任何事情:-(

我错过了某个设置以自动扩展活动会话吗？如果没有在每个请求上手动重新创建cookie,还有其他方法可以在最终用户活动后延长会话超时吗？

编辑:我在快递v3中遇到了这个问题.我不是百分百肯定,但我认为来自快速更新日志的这个说明可能是罪魁祸首:

• 将session()更改为仅在修改时设置cookie(哈希会话json)

为什么几乎所有网站都使用cookie而不是基本身份验证？它不仅仅是用户/传递窗口很难看,而且它们都不是更安全.它们都不安全(没有https).

我想将用户点击的数据存储在一个永远不必去服务器的cookie中.它就像会话添加的数据,我想在会话中保持这些数据,因为数据只是不断添加到cookie中,并且存储了很长时间,并且只有在用户删除浏览历史记录时才会被删除.cookie只是纯客户端的cookie,它永远不必去服务器,因为我不需要服务器上的用户生成的数据,所以我想摆脱cookie在之间来回发送时产生的额外开销浏览器和服务器.是否有可能实现这一目标？

有没有办法在所有场合配置Tomcat 7以创建带有安全标志的JSESSIONID cookie？

只有在通过https建立连接时,通常的配置才会导致Tomcat使用安全标记标记会话cookie.但是在我的生产场景中,Tomcat是一个反向代理/负载均衡器,它处理(并终止)https连接并通过http联系tomcat.

我可以以某种方式强制使用Tomcat在会话cookie上强制安全标志,即使连接是通过普通的http进行的吗？

是否有特定的Android会话管理库？我需要在普通的Android应用中管理我的会话.不在WebView.我可以从post方法设置会话.但是当我发送另一个会话失败的请求时.有人可以帮我解决这个问题吗？

DefaultHttpClient httpClient = new DefaultHttpClient();
HttpPost httppost = new HttpPost("My url");

HttpResponse response = httpClient.execute(httppost);
List<Cookie> cookies = httpClient.getCookieStore().getCookies();

if (cookies.isEmpty()) {
    System.out.println("None");
} else {
    for (int i = 0; i < cookies.size(); i++) {
        System.out.println("- " + cookies.get(i).toString());
    }
}

当我尝试访问会话丢失的同一主机时:

HttpGet httpGet = new HttpGet("my url 2");
HttpResponse response = httpClient.execute(httpGet);

我得到了登录页面响应正文.

http://www.javascriptkit.com/javatutors/cookie.shtml

另一方面,仅会话cookie将信息存储在浏览器存储器中,并且在浏览器会话期间可用.换句话说,存储在会话cookie中的数据从存储时起可用,直到浏览器关闭.在此期间从一个页面移动到另一个页面不会删除数据.

如何使用Express.js实现这一目标？

我想在登录页面上包含"记住我"功能,但我不知道它的实际含义(它的工作原理).我在许多网站上看到了不同的用途,但我没有得到它的实际意义.

我一直在使用expressjs和mongostore进行会话管理.以下是在expressjs中配置存储的代码,

app.configure(function(){
    app.use(express.session({
        secret: conf.secret,
        maxAge: new Date(Date.now() + 3600000),
        cookie: { path: '/' },
        store: new MongoStore(conf.db)
    }));
});

我在上面的代码中提到了cookie路径.但它在sub.domain.com而不是.domain.com中设置cookie.我如何实现这一目标？