web项目权限控制放在session里面会有什么隐患吗

jcroad 2017-08-04 11:50:19
在做一个web项目,请教:权限控制放在session里面会有什么隐患吗?
按照session的生命周期,这样做不对,请教各位具体的
...全文
423 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
北飞的企鹅 2017-08-07
  • 打赏
  • 举报
 回复
威5555555555555
解开者 2017-08-04
  • 打赏
  • 举报
 回复
安全性方面问题不大。需要防范会话重放:客户端用一个Cookie和服务端的Session对象绑定,如果客户端保留了这个Cookie并且服务端没把Session置为invalidate,那么客户端随时都可以访问这个Session,并获取相应的权限。 更需要考虑的是,Session是放在内存里的,当在线用户达到一定数量时内存可能不够用。
走在四季 2017-08-04
  • 打赏
  • 举报
 回复
1楼主攻,2楼辅助,其他楼围观助威。
evanweng 2017-08-04
  • 打赏
  • 举报
 回复
一楼正解,二楼辅助解,三楼总结不错!
god de gold 2017-08-04
  • 打赏
  • 举报
 回复
1楼正解,二楼辅助解!
minemine0418 2017-08-04
  • 打赏
  • 举报
 回复
结合楼上所说,建议用redis存放用户登录信息,性能速度比较好,可以设置过期时间,并且多个应用共享数据
IabcWeb简易建站系统 v2.1.rar
 5、安全性:严格的权限控制机制,让您可以精确控制到每一步的操作;操作日志的记录,可以随时查询系统的变化情况;强有力的漏洞检测(Sql注入,地址欺骗等),让系统可以免除安全隐患。 2011-10-22 IabcWebV2.1...
使用session机制有助于防止越权操作的产生_越权漏洞原理及防御方案
一、漏洞描述越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏,使得攻击者在...
Web相关-session和cookie
话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个话。常用的话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地...
常见web安全隐患及解决方案
有关于WEB服务以及web应用的一些安全隐患总结资料。 1. 常见web安全隐患 1.1.完全信赖用户提交内容 开发人员决不能相信一个来自外部的数据。不管它来自用户提交表单,文件系统的文件或者环境变量,任何...
SpringBoot-集成Shiro(登录注册、权限控制、分布式Session、登录验证码)
SpringBoot-集成Shiro 任何涉及到用户的系统都需要权限控制,目前权限控制有2大框架Shiro与SpringScurity,Shiro是一个简单易上手的权限控制框架,在(Shiro框架入门到精通)...中对Shiro框架的核心思想,以及认证授权...
Web 开发

81,092

社区成员

341,716

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章