Spring 安全,JSESSIONID 复制问题
Spring security, JSESSIONID copy issue
我正在使用 spring 安全性(表单身份验证)来验证传入用户。我们使用真实的用户名和密码登录。现在我只是从浏览器复制 JSESSIONID 并从 android 创建新的 Http 请求并将相同的 JSESSIONID 传递给 spring 服务。请求也获得了 android 的授权。
这意味着任何人一旦获得正确的 JSESSIONID 就可以破坏安全。
我们如何在 spring 安全中避免这种情况?
这不是真正的威胁。
您的威胁模型是:用户可以对自己的会话 ID 进行身份验证并将其复制到他们控制的另一台机器上。
黑客无法窃取他人的会话 ID。这是重要的部分。
我正在使用 spring 安全性(表单身份验证)来验证传入用户。我们使用真实的用户名和密码登录。现在我只是从浏览器复制 JSESSIONID 并从 android 创建新的 Http 请求并将相同的 JSESSIONID 传递给 spring 服务。请求也获得了 android 的授权。
这意味着任何人一旦获得正确的 JSESSIONID 就可以破坏安全。
我们如何在 spring 安全中避免这种情况?
这不是真正的威胁。
您的威胁模型是:用户可以对自己的会话 ID 进行身份验证并将其复制到他们控制的另一台机器上。
黑客无法窃取他人的会话 ID。这是重要的部分。