スティーブの答えは良いです。もう少しコンテキストを追加するために、セッション固定攻撃に対するベスト プラクティスとして、ユーザー認証イベントの後に常に無効にして新しいセッションを作成する必要があります。
やりたいことを達成する別の方法は、Spring Security を使用することです。考慮したかどうかはわかりませんが、デフォルトでは、ユーザーがログインするたびに新しいセッションの無効化と生成を処理します。また、役に立つかもしれないし、役に立たないかもしれない他の機能もあります。次のリンクが役立つ場合があります: http://static.springsource.org/spring-security/site/docs/3.1.x/reference/ns-config.html。あなたの質問に関連する情報については、セクション「3.3.3 /セッション固定攻撃保護」までスクロールしてください
ログアウト後に新しいセッションを作成するには、セッションが古いsession.isNew()かどうかを確認してからを呼び出します。logout メソッドを/loginマッピングにリダイレクトします。セッションをチェックし、メソッドを呼び出すと新しいセッションを作成します。invalidate() invalidate()
ログアウトコード:
@RequestMapping("/logout")
public String logout() {
return "redirect:/login";
}
ログインコード:
@RequestMapping(value = "/login")
public String login(HttpServletRequest request, HttpSession session) {
/*
* create new session if session is not new
*/
if (!session.isNew()) {
session.invalidate();
}
return "login";
}