問題タブ [session-management]

私は php アプリケーションを持っており、$_SESSION 自体を使用してユーザーのセッション変数を保存しています。それをデータベースに保存することの特別な利点はありますか?

これについて詳しく説明している、信頼できる/十分に調査された記事を探しています。私はまだ何も見つけることができませんでした。

現在、Springセキュリティでは次のコードがあります。

誰かが並行セッションを開始しようとすると、例外がスローされます。私のアプリケーションが例外を処理する方法は、例外をキャッチしてから、ユーザーに表示されるカスタム例外をスローすることです。私の質問は2部構成です。

まず、そして最も重要なこととして、セッション管理に与えることができるカスタムクラスを作成して、古い例外をキャッチして新しい例外をスローできるようにするにはどうすればよいですか？並行性制御をサブクラス化し、セキュリティコンテキスト内で何らかのBeanを作成する必要があるように思われますが、その方法がわかりません。

次に、スローされる例外（キャッチする必要がある例外）の名前は何ですか？私の推測では、AccessDeniedExceptionになると思いますが、よくわかりません。これは最初の質問ほど重要ではありません。サブクラス化する必要のある正しいクラスがわかれば、それがどのような例外になる可能性があるかがわかるからです。

助けてくれてありがとう、

MirroredFate

マルチスレッドで動作するWindowsサービスアプリケーションがあります。このアプリケーションのデータアクセス層でNHibernateを使用しています。

このアプリケーションでのセッション管理についてのあなたの提案は何ですか。UNHAddinsについて読みましたが、それは良い解決策ですか？

NHibernate での Session.Merge メソッドの使用法は何ですか?

この方法はいつ使用できますか?

jspでユーザーセッションを管理する場合、session.setAttribute()で変数を設定してセッションを利用することもあれば、Java Beanオブジェクトを作成して(スコープをセッションに設定)ユーザー情報を保存し、別のページで取得することもできます。これら2つの違いは何ですか？

セッションマネージャを設計するための仕様標準はありますか？IMO、これらはセッションが処理する必要があるものです：

2. 各セッションに一意のIDを割り当てる必要があります（セッションID）。
3. ペアの形で属性を維持できる必要があります。
4. クライアントの可用性をチェックできる必要があります（たとえば、クライアントが終了します）。
5. セッションを破棄できる必要があります。
6. それ以上？

セッションマネージャーの良い例はありますか？

ブラウザーとWebSphereでホストされているWebアプリケーションとの間のトラフィックにsitParosを配置すると、HTTP要求のCookieセクションの一部として2つのセッションIDが渡されます。

JSESSIONID。私が知る限り、これはあなたのHTTPSessionIDです。LTPA2トークン。これは、Websphereに関する限り、「シングルサインオン」セッションです。

現在、IBMは、ユーザーがサインアウトしているときに、単一のホスト型アプリケーションがLTPA2トークンを無効にすることはできないと言っています。この背後にある考え方は、これがSSO識別子であるため、複数のアプリケーションで使用することを目的としているため、単一のアプリケーションで無効にできないようにする必要があるということです。WASには、「この環境は1つのアプリケーションのみをホストするため、アプリがLTPA2トークンを無効にできる」と宣言する構成はありません。

心配なのは、これらのLTPA2セッションが構成可能な時間だけハングすることです。したがって、別のユーザーがユーザーのLTPA2トークンのハンドルを取得した場合、そのユーザーはそれを使用してそのユーザーのセッションにアクセスし、機密データにアクセスできます。

中間者攻撃がセッション値をキャプチャするのを防ぐには、SSLを介してCookieの送信を強制し、Cookieに対してのみHTTPを指定します。ただし、ローカルマシンのハードドライブでCookieが利用できるのではないかと心配しています。ブラウザはそれをどこかに保存する必要があるので、それにアクセスする方法が必要ですか？

私の質問は、誰かがハードドライブからこのようなLTPA2値を取得することは可能ですか？誰かが図書館に座って、オンラインバンキングにサインインし、作業を行ってからログアウトするとします。次のユーザーがどういうわけかLTPA2トークンを取得することは可能ですか？

FireFox 4とIE8がCookieを保存すると思ったディレクトリを検索しようとしましたが、値とパターンマッチングできませんでした。私の直感は、特定のブラウザでこのデータを見つけることができるかもしれないということですか？

これは私の現在のセッション管理です:

IPアドレスの最初の3つの部分のみを使用する計画でIPの問題を変更することを認識しています。しかし、私が懸念しているのは、攻撃者がヘッダーなどを盗聴できることです。じゃあ守られないよね？私が被害者のネットワーク内の攻撃者である場合、1 つの応答ヘッダーを盗聴した後、簡単な GET 要求を行うだけで、再生成されたノンスを取得できます。これを防ぐ方法は本当にありますか？

多すぎなければ、自分のアプローチについて洞察を得たいと思っていました。これはどのように回避できますか？私は何か大きなものを見逃していますか？

古いWebサイト（servlets、JSP、Struts）があります。現在、セッション管理はCookieを使用して処理されています。このサイトを再設計して、ブラウザに依存しないようにしたかったのです。

別のURLの書き換えがあることは知っていますが、これは、アプリケーション内のすべてのURLを書き換え（エンコード）することはできません。

コードにあまり影響を与えないソリューションを探しています。誰かが実行可能な解決策を持っているなら、私に提案してください。それは私にとって大きな助けになるでしょう。

私のプロジェクトでは、ログに記録されたユーザーの詳細やその他の情報を保存するために ehcache を使用しています (db から取得する代わりに実行時にこれを使用するアプリ)。以下は、私の ehcache 構成です。

しかし、問題はほとんどの場合、セッション タイムアウトが発生することです (ユーザーが非アクティブでなくても 30 以上)。10分くらい続く時もあるけど…

すべてのアクションは、リクエストごとに ehcache からユーザー オブジェクトを取得しようとします。

ehcache が有効期限をどのように決定するかはわかりません。