0

状況:私はある種の SSO ミドルウェア (MW) に接続できる「ダム」な Javascript フロントエンドを持っています。MW は、認証資格情報 (ユーザー名、パスワード) を含む要求を発行することにより、セッションを取得できます。つまり、セッションは特定のユーザーに対して作成されます。

フロントエンドは、ターゲット システムに対するユーザーのアクセス許可を取得するために、セッションを「再起動」する必要があります。そのためには、有効なセッション Cookie が必要です。

ターゲット システムは私の管理下にないため (多かれ少なかれ公開されている WFS、WMS などである可能性があります)、それに SSO メカニズムを追加することはできません。

質問: URL の jsessionid パラメータに有効なセッション ID が含まれているリクエストを偽造するセッションを「盗む」ことは可能ですか?

目標: このようなリクエストをサーブレットに発行し、同じ ID を含む Set-Cookie ヘッダーで応答するようにします。そうすれば、フロントエンドはセッションに参加し、セッションの作成に使用されたユーザーが実行できることは何でも実行できます。

4

1 に答える 1

0

あなたの最善の策は共有データソース (RDBMS?) であり、共有情報は長い自動生成された一意の識別子をキーとして保存され (java.util.UUIDおそらく?)、このキーを渡します。

于 2010-06-05T12:50:28.870 に答える