题 会话或cookie混淆


我在一些网站上看到用户登录了他们的帐户然后关闭了浏览器。

关闭并重新打开浏览器后,他们的帐户仍然已登录。

但有些网站,不能这样做。

我很困惑,它被认为是会话或cookie?

如果我希望我的网站像这样登录,我是否必须设置 session.setMaxInactiveInterval() 要么 cookie.setMaxAge()


19
2018-04-19 07:44


起源


重复 如何让用户登录我的网站好几个月? - BalusC
相关: stackoverflow.com/questions/3106452/... - BalusC
阅读本OWASP 备忘单。这是一个非常好的参考。 - Hong


答案:


*这个答案有严重的缺陷,请参阅评论。 *


你的问题是关于 会话跟踪

[第1部分]:会话对象

HTTP请求是单独处理的,因此为了保持每个请求之间的信息(例如,关于用户的信息),a 会话对象 必须在服务器端创建。

有些网站根本不需要会话。用户无法修改任何内容的网站不必管理会话(例如,在线简历)。您不需要在此类网站上使用任何cookie或会话。

创建会话:

在servlet中,使用该方法 request.getSession(true) 从HttpServletRequest对象创建一个新的HttpSession对象。请注意,如果您使用 request.getSession(false)空值 如果尚未创建会话,将返回。 请查看此答案以获取更多详细信息

设置/获取属性:

会话的目的是在每个请求之间保留服务器端的信息。例如,保留用户名:

session.setAttribute("name","MAGLEFF");
// Cast
String name = (String) session.getAttribute("name");

销毁会话:

如果保持非活动状态太长时间,会话将自动销毁。 请查看此答案以获取更多详细信息。但是,例如,在注销操作的情况下,您可以手动强制销毁会话:

HttpSession session = request.getSession(true); 
session.invalidate();

[第2部分]:所以......加入黑暗面,我们有COOKIES?

这是饼干。

JSESSIONID:

一个 JSESSIONID cookie 每次创建会话时都会在用户的计算机上创建 request.getSession()。为什么?因为在服务器端创建的每个会话都有一个ID。除非您没有正确的ID,否则您无法访问其他用户的会话。此ID保存在JSESSIONID cookie中,允许用户查找其信息。 请查看此答案以获取更多详细信息

什么时候JSESSIONID被删除?

JSESSIONID没有到期日期:它是一个 会话cookie。作为所有会话cookie,它将在浏览器关闭时被删除。如果使用基本的JSESSIONID机制,则在关闭并重新打开浏览器后会话将无法访问,因为JSESSIONID cookie已被删除。

请注意,客户端无法访问会话,但仍在服务器端运行。设置一个 MaxInactiveInterval 允许服务器在会话长时间处于非活动状态时自动使会话无效。

邪恶破坏JSESSIONID

只是为了好玩,有一天我在项目中找到了这个代码。它用于通过使用javascript删除JSESSIONID cookie来使会话无效:

<SCRIPT language="JavaScript" type="text/javascript">

    function delete_cookie( check_name ) {
        // first we'll split this cookie up into name/value pairs
        // note: document.cookie only returns name=value, not the other components
        var a_all_cookies = document.cookie.split( ';' );
        var a_temp_cookie = '';
        var cookie_name = '';
        var cookie_value = '';
        var b_cookie_found = false; // set boolean t/f default f
        // var check_name = 'JSESSIONID';
        var path = null;

        for ( i = 0; i < a_all_cookies.length; i++ )
        {
            // now we'll split apart each name=value pair
            a_temp_cookie = a_all_cookies[i].split( '=' );
            // and trim left/right whitespace while we're at it
            cookie_name = a_temp_cookie[0].replace(/^\s+|\s+$/g, '');
            // alert (cookie_name);

            // if the extracted name matches passed check_name
            if ( cookie_name.indexOf(check_name) > -1 )
            {
                b_cookie_found = true;
                // we need to handle case where cookie has no value but exists (no = sign, that is):
                if ( a_temp_cookie.length > 1 )
                {
                    cookie_value = unescape( a_temp_cookie[1].replace(/^\s+|\s+$/g, '') );
                    document.cookie = cookie_name + "=" + cookie_value +
                    ";path=/" +
                    ";expires=Thu, 01-Jan-1970 00:00:01 GMT";
                    // alert("cookie deleted " + cookie_name);
                }
            }
            a_temp_cookie = null;
            cookie_name = '';
        }
        return true;
    }
    // DESTROY
    delete_cookie("JSESSIONID");

</SCRIPT>

再看看这个答案。使用JavaScript,可以读取,修改JSESSIONID,使其会话丢失或被劫持。

[第3部分]:关闭浏览器后保持会话

关闭并重新打开浏览器后,他们的帐户仍然存在   登录。   但有些网站,不能这样做。   我很困惑,它被认为是会话或cookie?

这是饼干。

我们看到,当Web浏览器删除了JSESSIONID会话cookie时,服务器端的会话对象将丢失。没有正确的ID,无法再次访问它。

如果我希望我的网站像这样登录,我是否必须设置   session.setMaxInactiveInterval()或cookie.setMaxAge()?

我们也看到了 session.setMaxInactiveInterval() 是为了防止无限期地丢失会话。 JSESSIONID cookie cookie.setMaxAge() 也不会让我们到任何地方。

使用持久cookie和会话ID:

阅读以下主题后,我找到了这个解决方案:

主要思想是在Map中注册用户会话,放入servlet上下文。每次创建会话时,都会将其添加到具有键的JSESSIONID值的Map中;还会创建一个持久性cookie来记忆JSESSIONID值,以便在销毁JSESSIONID cookie之后找到会话。

关闭Web浏览器时,JSESSIONID将被销毁。但是所有HttpSession对象地址都保存在服务器端的Map中,您可以使用保存到持久cookie中的值访问正确的会话。

首先,在web.xml部署描述符中添加两个侦听器。

<listener>
    <listener-class>
        fr.hbonjour.strutsapp.listeners.CustomServletContextListener
    </listener-class>
</listener>

<listener>
    <listener-class>
        fr.hbonjour.strutsapp.listeners.CustomHttpSessionListener
    </listener-class>
</listener>

CustomServletContextListener在上下文初始化时创建映射。此映射将注册用户在此应用程序上创建的所有会话。

/**
 * Instanciates a HashMap for holding references to session objects, and
 * binds it to context scope.
 * Also instanciates the mock database (UserDB) and binds it to 
 * context scope.
 * @author Ben Souther; ben@souther.us
 * @since Sun May  8 18:57:10 EDT 2005
 */
public class CustomServletContextListener implements ServletContextListener{

    public void contextInitialized(ServletContextEvent event){
        ServletContext context = event.getServletContext();

        //
        // instanciate a map to store references to all the active
        // sessions and bind it to context scope.
        //
        HashMap activeUsers = new HashMap();
        context.setAttribute("activeUsers", activeUsers);
    }

    /**
     * Needed for the ServletContextListener interface.
     */
    public void contextDestroyed(ServletContextEvent event){
        // To overcome the problem with losing the session references
        // during server restarts, put code here to serialize the
        // activeUsers HashMap.  Then put code in the contextInitialized
        // method that reads and reloads it if it exists...
    }
}

CustomHttpSessionListener将在创建会话时将会话置于activeUsers映射中。

/**
 * Listens for session events and adds or removes references to 
 * to the context scoped HashMap accordingly.
 * @author Ben Souther; ben@souther.us
 * @since Sun May  8 18:57:10 EDT 2005
 */
public class CustomHttpSessionListener implements HttpSessionListener{

    public void init(ServletConfig config){
    }

    /**
     * Adds sessions to the context scoped HashMap when they begin.
     */
    public void sessionCreated(HttpSessionEvent event){
        HttpSession    session = event.getSession();
        ServletContext context = session.getServletContext();
        HashMap<String, HttpSession> activeUsers =  (HashMap<String, HttpSession>) context.getAttribute("activeUsers");

        activeUsers.put(session.getId(), session);
        context.setAttribute("activeUsers", activeUsers);
    }

    /**
     * Removes sessions from the context scoped HashMap when they expire
     * or are invalidated.
     */
    public void sessionDestroyed(HttpSessionEvent event){
        HttpSession    session = event.getSession();
        ServletContext context = session.getServletContext();
        HashMap<String, HttpSession> activeUsers = (HashMap<String, HttpSession>)context.getAttribute("activeUsers");
        activeUsers.remove(session.getId());
    }

}

使用基本表单通过名称/密码测试用户身份验证。此login.jsp表单仅用于测试。

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
        <title><bean:message key="formulaire1Title" /></title>
    </head>
    <body>
        <form action="login.go" method="get">
            <input type="text" name="username" />
            <input type="password" name="password" />
            <input type="submit" />
        </form>
    </body>
</html>

我们走了。当用户不在会话中时,此java servlet将转发到登录页面,而当用户不在时,则转发到另一个页面。它仅用于测试持久会话!

public class Servlet2 extends AbstractServlet {

    @Override
    protected void doGet(HttpServletRequest pRequest,
            HttpServletResponse pResponse) throws IOException, ServletException {
        String username = (String) pRequest.getParameter("username");
        String password = (String) pRequest.getParameter("password");
        // Session Object
        HttpSession l_session = null;

        String l_sessionCookieId = getCookieValue(pRequest, "JSESSIONID");
        String l_persistentCookieId = getCookieValue(pRequest, "MY_SESSION_COOKIE");

        // If a session cookie has been created
        if (l_sessionCookieId != null)
        {
            // If there isn't already a persistent session cookie
            if (l_persistentCookieId == null)
            {
                addCookie(pResponse, "MY_SESSION_COOKIE", l_sessionCookieId, 1800);
            }
        }
        // If a persistent session cookie has been created
        if (l_persistentCookieId != null)
        {
            HashMap<String, HttpSession> l_activeUsers = (HashMap<String, HttpSession>) pRequest.getServletContext().getAttribute("activeUsers");
            // Get the existing session
            l_session = l_activeUsers.get(l_persistentCookieId);
        }
        // Otherwise a session has not been created
        if (l_session == null)
        {
                    // Create a new session
            l_session = pRequest.getSession();
        }

            //If the user info is in session, move forward to another page
        String forward = "/pages/displayUserInfo.jsp";

        //Get the user
        User user = (User) l_session.getAttribute("user");

        //If there's no user
        if (user == null)
        {
                    // Put the user in session
            if (username != null && password != null)
            {
                l_session.setAttribute("user", new User(username, password));
            }
                    // Ask again for proper login
            else
            {
                forward = "/pages/login.jsp";
            }
        }
        //Forward
        this.getServletContext().getRequestDispatcher(forward).forward( pRequest, pResponse );

    }

MY_SESSION_COOKIE cookie将保存JSESSIONID cookie的值。当JSESSIONID cookie被销毁时,MY_SESSION_COOKIE仍然存在会话ID。

JSESSIONID已经离开了Web浏览器会话,但我们选择使用持久且简单的cookie,以及放入应用程序上下文的所有活动会话的映射。持久性cookie允许我们在地图中找到正确的会话。

不要忘记BalusC添加/获取/删除cookie的这些有用方法:

/**
 * 
 * @author BalusC
 */
public static String getCookieValue(HttpServletRequest request, String name) {
    Cookie[] cookies = request.getCookies();
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if (name.equals(cookie.getName())) {
                return cookie.getValue();
            }
        }
    }
    return null;
}

/**
 * 
 * @author BalusC
 */
public static void addCookie(HttpServletResponse response, String name, String value, int maxAge) {
    Cookie cookie = new Cookie(name, value);
    cookie.setPath("/");
    cookie.setMaxAge(maxAge);
    response.addCookie(cookie);
}

/**
 * 
 * @author BalusC
 */
public static void removeCookie(HttpServletResponse response, String name) {
    addCookie(response, name, null, 0);
}

}

最后的解决方案在localhost上使用glassfish进行测试,在Windows上使用chrome for webbrowser进行测试。它只依赖于一个cookie,而您不需要数据库。但实际上,我不知道这种机制的限制是什么。我只花了一夜才到这个解决方案,不知道它是好还是坏。

谢谢

我还在学习,请告诉我答案中是否有任何错误。谢谢,@ +


45
2018-04-19 14:43



你忘了解释/回答了 “关闭并重新打开浏览器后,他们的帐户仍然已登录。” 部分。 - BalusC
@BalusC你是对的。我重温了你对这个主题所做的伟大回答。然后我花了一部分时间寻找另一个解决方案,以便回答这个问题。我不知道解决方案的限制是什么,但测试很有意思。谢谢 ;-)
您的解决方案有许多缺陷:(1)它从许多线程访问非同步映射,对activeUsers使用ConcurrentHashMap或Collections.synchronizedMap,(2)对于登录检查,您应该使用Filter,而不是servlet。如果您通过它路由所有流量,则可以使用servlet执行此操作,但Filter是为此而设计的。 (3)如果在服务器上的会话过期后(在sessionDestroyed方法中)删除它,为什么还要将会话存储到ServletContext? (4)如果您想要持久登录,则应使用持久性数据存储。这将无法在服务器重启后继续存在。等等。 - Oliv
我很高兴有人在2年后审查了这段代码 - 因为这是我当时要求的。使用servlet上下文是一个实验,但显然数据库是存储持久数据的正确方法。我不会修改这个答案,因为已完成的工作已完成。相反,我宁愿在现实生活中测试你自己的答案并让它运行。
“JSESSIONID没有到期日期:它是一个会话cookie”这是正确的吗?是不是通过<session-config> <session-timeout> 10 </ session-timeout> </ session-config>来控制? - Kumar Manish


正确的答案有很多缺陷,请看我的评论。事情实际上更容易。您将需要一个持久性数据存储(例如SQL数据库)。您可以使用 ServletContext 同样,但在服务器重启或应用程序重新部署后,用户将被注销。如果你使用的话,不要忘记正确同步 HashMap 在 ServletContext,因为它可能从更多线程同时访问。

不要破解服务器的会话及其ID,它不在您的控制之下,如果在服务器到期原始会话后出现带有JSESSIONID的请求,则某些服务器会更改会话ID。滚动你自己的cookie。

基本上你需要:

  • 自己的cookie,不具有持久性,具有安全随机的值
  • 数据存储区
  • 一个 javax.servlet.Filter 检查登录

过滤器实现可能如下所示:

public class LoginFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, 
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        // Java 1.8 stream API used here
        Cookie loginCookie = Arrays.stream(req.getCookies()).filter(c -> c.getName()
                .equals("MY_SESSION_COOKIE")).findAny().orElse(null);

        // if we don't have the user already in session, check our cookie MY_SESSION_COOKIE
        if (req.getSession().getAttribute("currentUser") == null) {
            // if the cookie is not present, add it
            if (loginCookie == null) {
                loginCookie = new Cookie("MY_SESSION_COOKIE", UUID.randomUUID().toString());
                // Store that cookie only for our app. You can store it under "/", 
                // if you wish to cover all webapps on the server, but the same datastore
                // needs to be available for all webapps.
                loginCookie.setPath(req.getContextPath());
                loginCookie.setMaxAge(24*60*60); // valid for one day, choose your value
                resp.addCookie(loginCookie);
            }
            // if we have our cookie, check it
            else {
                String userId = datastore.getLoggedUserForToken(loginCookie.getValue());
                // the datastore returned null, if it does not know the token, or 
                // if the token is expired
                req.getSession().setAttribute("currentUser", userId);
            }
        }
        else {
            if (loginCookie != null)
                datastore.updateTokenLastActivity(loginCookie.getValue());
        }

        // if we still don't have the userId, forward to login
        if (req.getSession().getAttribute("currentUser") == null)
            resp.sendRedirect("login.jsp");
        // else return the requested resource
        else
            chain.doFilter(request, response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

}

用户登录后,您应该将MY_SEESSION_COOKIE的值与数据存储一起添加到数据存储区 userId 并在注销时删除它。您还应该将过期日期存储到数据存储区并在接受令牌之前进行检查,因为浏览器可能不遵守maxAge属性,如图所示 这里

并且不要忘记添加一些数据存储区清理以防止未完成的cookie永远挂起。

上面的代码在现实生活中没有经过测试,可能会有一些怪癖,但基本的想法应该有效。它至少比公认的解决方案好很多。


11
2018-05-15 07:44



我是servlet的新手,经过长时间的搜索和谷歌搜索,我发现你的答案最容易“实现”而没有严重的安全问题。应该被投票。 - cirko
好方法!如果我的Spring Security配置具有“maximumSessions = 1”和“exceptionIfMaximumExceeded = true”,我需要做些什么来实现相同的结果? - DiegoSahagun