名前、パスワード、電子メールなどのユーザー データをHttpSessionwithに保存しますsetAttribute。
重要なデータを に保存しても安全かどうか知りたいですHttpSession。
2468 次
2 に答える
2
次のいずれかのユーザー リポジトリにログイン情報を保存してみてください (ログイン中に有効性を確認してください)。
- インメモリ (たとえば、xml ファイルである可能性があります)、
- JDBCベース、
- LDAP ベース。
認証オプションの完全なリストではありません。
ログインやその他の機密データには、少なくとも SSL/HTTPS を使用する必要があります。
この記事をご覧ください: http://en.wikipedia.org/wiki/Session_hijacking
そして、ここにその問題に関する素敵な SO ディスカッションがあります:セッションのハイジャックを防ぐ最善の方法は何ですか?
ここでは、いくつかのセキュリティの問題についても言及しています: Web 開発についてすべてのプログラマーが知っておくべきことは?
于 2012-05-03T20:44:22.550 に答える
1
理想的な方法は、アプリケーションのいかなる手段においてもパスワードを決して保存しないことです。データベースベースの認証または LDAP 認証を使用する場合、理想的にはパスワードを暗号化して DB のユーザーテーブルに保存する必要があります。
認証に成功したら、電子メールや名前などのフィールドを http セッションに保持できます。ユーザー名をセッションで (一意に) 保持し、データベースの読み取りを実行して、このユーザー名に基づいてデータベースからプロファイル情報を読み取る必要があります。この情報を Cookie に保持して、頻繁に訪問するユーザーにいくつかの情報を再入力しやすくすることもできます。
最も重要なことは、隠し変数、Cookie、またはクエリ文字列にパスワードを保存しないことです。
保持しなければならない機密情報は、SESSION 内にあるが暗号化されている必要があります。
于 2012-05-04T16:29:19.107 に答える