Когда пользователь нажимает регистрационную страницу в Portal
(это может быть Liferay
, Jboss Portal
..) JSESSIONID cookie
создается container
. После ввода учетных данных на странице входа в систему, тот же самый JSESSIONID
переносится.Создание нового JSESSIONID после проверки подлинности
Здесь конечный пользователь узнает JSESSIONID
, прежде чем он сможет пройти аутентификацию (проверив JSESSIONID
на странице входа). Это увеличит уязвимость сайта для взлома, потому что вы можете узнать JSESSIONID
, прежде чем получить аутентификацию.
Этот post советует иметь разные JSESSIONID
после аутентификации.
Таким образом, создание нового JSESSIOND может быть достигнуто с помощью используемого сервера Portal
(я использую Liferay CE 6.0
) или он должен обрабатываться разработчиком веб-приложений? Если он должен быть обработан разработчиком веб-приложений, что лучше всего сделать? request.getSession(true)
- единственный вариант? Если мне нужно указать Liferay
, чтобы создать новый JSESSIONID
после аутентификации, как это сделать?
Ваш ответ был очень полезен. К сожалению, я не упоминал о своем сервере приложений. Я использую Jboss. Я проверю это в Jboss. Если у вас есть какие-либо полезные ссылки, поделитесь ими. Надеюсь, у Jboss также будет эта функция. –