会话跟踪技术是开发web系统时经常用到的技术,今天总结一下。个人已经知道的有五种:
1.cookie
2.http session
3.url重写
4.隐藏表单域
5.如果用到ejb的话,有state session
使用心得:
1.cookie只能用于用户再次登录认证,登录后如果进行某些敏感操作,如
信用卡操作,还是要让其输入密码重新登录。
2.出了在cookie中存储用户认证信息,不要在存储任何其他信息
3.少用url重写和隐藏表单域来进行会话跟踪
4.最好使用session和严格的cookie来进行会话跟踪
如果你做的是
企业应用,面向内部,这样做也许够了,但是阅读了这篇文章后,
发现如果有人恶意攻击的话,光靠session和cookie就不怎么安全了,构建安全的wen应用在登录时必须使用https来保障信息不被截取,有的网站甚至已全站https了,如github.com
相关文章
