Насколько я понимаю, когда пользователь регистрируется в Spring Security, аннулирует сеанс и создает новый.
Итак, если я пришел из http с четким cookie sessionID, Spring Security должна установить новый безопасный cookie sessionID, который будет отправлен обратно браузером только при последующих запросах https.
Что мне не хватает, когда пользователь «вошел в систему» переключился с https на http, поскольку там должен быть файл cookie sessionID, который хранится где-то в качестве небезопасного файла cookie, чтобы отслеживать сеанс.
Я не понимаю, как это управляет Весна.
После того, как пользователь вошел в систему, если он просматривает http, тогда ясный cookie sessionID будет таким же, как и безопасный SessionID, и не станет ли он видимым для всего мира? Кто-то может это прочитать и захватить сессию.
Я не понимаю, что поток Spring Security может объяснить мне, как это работает?
ThanksВесенние файлы cookie безопасности после входа пользователя в систему и захвата сеанса
ответ
Лучше всего не смешивать сеансы HTTP и HTTPS именно по этой причине. На самом деле, кажется, что регистрация в HTTPS, а затем возврат к HTTP не работает (поскольку браузер не отправит защищенный сеансовый файл cookie).
[...] сессии создали под HTTPS, для которого сеанс печенья помечен как «безопасный», не могут быть впоследствии использованы при HTTP. Браузер не отправит файл cookie обратно на сервер, и любое состояние сеанса будет потеряно (включая информацию о безопасности ). Запуск сеанса в HTTP первый должен работать как сеанс куки не будут помечены как безопасный (вы также должны отключить поддержку Session Закрепление Protection Spring Security для предотвращения его создания нового защищенного сеанса на входе (вы всегда можете создать новый сеанс на более позднем этапе). Обратите внимание: переключение между HTTP и HTTPS не является хорошей идеей в целом, поскольку любое приложение , которое использует HTTP вообще, уязвимо для человека, the-middle . Чтобы быть действительно безопасным, пользователь должен начать доступ к вашему сайту в HTTPS и продолжать использовать его до тех пор, пока они не выйдут из системы . Даже щелчок по ссылке HTTPS со страницы, доступной по HTTP, является потенциально опасным.
От http://static.springsource.org/spring-security/site/faq.html
- 1. Весенние страницы входа в систему безопасности?
- 2. Установка таймаута для сеанса после входа пользователя в систему
- 3. Где хранить попытки входа в систему и текущий статус входа в систему, файлы cookie или сеансы?
- 4. Как защитить файлы cookie, созданные PHP после входа в систему
- 5. Аутентификация пользователя - риск безопасности передачи сеанса cookie через HTTP?
- 6. Безопасность сеанса для входа пользователя в систему
- 7. Установить и проверить файлы cookie для входа в систему?
- 8. Пишите cookie клиенту после входа в систему
- 9. Установить атрибут сеанса после входа в систему
- 10. Сохранение сеанса SSL и безопасные файлы cookie
- 11. Добавить контент после входа в систему пользователя
- 12. Поставщик весны безопасности для входа в систему и безопасности api
- 13. Перенаправление весенней безопасности после входа в систему
- 14. Cookie не устанавливает после входа в систему
- 15. Как удалить файлы cookie после выписки пользователя
- 16. Как сохранить cookie после входа в систему
- 17. Нет сеанса после входа в систему
- 18. ASP.NET MVC3 Forms Аутентификация сеанса входа в систему пользователя обновляется
- 19. Set-Cookie для системы входа в систему
- 20. Как обновить значения сеанса после входа пользователя в профиль пользователя
- 21. Приложение прекращает генерировать файлы cookie для входа в систему
- 22. Django. Перенаправление пользователя после входа в систему
- 23. отображение подключенного пользователя после входа в систему
- 24. Действия пользователя после входа в систему
- 25. Показать имя пользователя после входа в систему
- 26. Показывать данные пользователя после входа в систему
- 27. Переадресовать пользователя только после входа в систему
- 28. Перенаправление для администратора и пользователя после входа в систему
- 29. Модификатор входа в систему ModX [revolution 2.3.5], пользователи не получают сеансы после входа в систему.
- 30. получить имя пользователя после входа в систему