問題タブ [sessiontracking]

現在ログインしているユーザーと対話する前にセッションが有効かどうかを確認する必要がないように、これは便利です。セッションがすでにタイムアウトしている場合に、ユーザーを自動的にログイン ページにリダイレクトするように Spring に指示できれば、さらに便利です。

ここにも同様の質問があります:スプリング セキュリティでキャッチするログアウト/セッション タイムアウト ですが、私が本当に必要としているのは、より直感的でエレガントなものです。それは可能ですか？

私はプログラミングが初めてで、サーブレットでのurlrewritingを学ぶために2つのコードを書きました:

私のhtmlフォームは次のとおりです。

私の web.xml ファイルは次のとおりです。

コードは次のとおりです。

1.

2.

2 番目のサーブレット (loginhidden1_name) で name の値を取得できますが、urlrewriting でログイン ID ("mylogin") の値を取得できません。null 値を取得しています。助けてください。

事前にどうもありがとう。

これが私のコードです。私たちが使用したHttpSessionはクラスでも使用され、機能しましたが、現在は機能しません。そして、for ループの後に何も印刷できません。メソッドを使用しますdoGet()。stringToPhone をセッション オブジェクトに格納し、carrierNum を Cookie に格納する必要があります。

ちょっとした背景:現在、いくつかのベンダー間で HTTP API を指定して、異なる製品が簡単に相互運用できるようにしようとしています。「サーバー」ソフトウェアもクライアントもまだ作成していませんが、API の基本をレイアウトしているだけなので、すべての関係者がプロトタイピングを開始してから改良することができます。したがって、この API の典型的な使用例は、ブラウザー内からではなく、特定のアプリケーション内の (薄い) HTTP レイヤーによって使用されます。

ここでセッション状態がないとコミュニケーションは意味をなさないので、通常はセッションを追跡する方法を検討していました。

つまり、使用する HTTP ライブラリにできるだけ負担をかけずに、API の実装をできるだけ簡単に保ちたいということです。

誰かが、基本的に「URL 書き換え」によってセッションを管理することを提案しましたが、もう少し明示的です。

• POST .../service/session{ ... }
• => 返信201 Createdとセッション URL の場所.../service/session/{session-uuid}
• 後続のリクエストの使用.../service/session/{session-uuid}/whatever
• クライアントが行うセッションを終了するDELETE .../service/session/{session-uuid}

Web を見回してみると、最初の検索では、これはやや異例であることがわかります。

これは有効なアプローチですか？具体的な欠点や長所は?

私たちが特定した長所：（適切な場合は暴言を吐いてください）

• 実装が簡単で、Cookie やヘッダーの追跡などは必要ありません。
• クライアント認証メカニズムに直交 - 認証が適切な場合、セッションを引き続き使用できる 2 番目のアプリに URL を簡単に渡すことができます (この場合の有効な使用例)
• このためだけに http を使用するため、安全である必要があります。

PHPSESSIDが言及されたので、私はこの他の質問に出くわしました.「URL内のセッション」アプローチは、セッション固定攻撃に対してより脆弱である可能性があると述べられています.

ただし、上記の 2 番目の箇条書きを参照してください: このセッションの概念と直交するように認証/承認を実装~指定する予定です。そのため、「セッション」URL を渡すことも機能になる可能性があるため、セッションをURL。

iOS または Watch アプリ用に Google アナリティクスを使用してセッション (イベント、アクション、画面ではない) 追跡をインスタンス化する場合、セッションとして追跡する必要があるものと追跡しないものを指定する方法はありますか。各起動 -- たとえば、バックグラウンド タスクや時計アプリの再開、グランスのアクティブ化をセッションとしてカウントしたくありません。開発者として、Google に送信する前にセッション トラッキング データをファイリングすることを制御できますか、それともすべてのセッション トラッキング データが自動的に Google にディスパッチされますか? 現在、私はこの関数をAppDelegate didFinishLaunchingWithOptions

クライアントのブラウザで Cookie が無効になっていることをサーブレットがどのように判断できるかを誰かが説明してくれるとありがたいです。

サーブレットでセッションを作成しているときに、Cookie が有効になっている場合、サーバーは sessionID を Cookie として返します。Cookie が無効になっている場合、セッション ID が URL に書き込まれます。

私が理解できないのは、Cookie が無効になっていることをサーバーがどのように判断できるかということです。HTTP はステートレス プロトコルです。クライアントが Cookie を無効にしたことをサーバーが知る方法はありません (私が知っていることです)。サーバーはリクエスト ヘッダーで Cookie を受信しないと思いますが、そもそも Cookie が設定されていない可能性があります。

これらの回答を確認しました: Servlet HttpSession cookies disabled ブラウザが Cookie を無効にしているときにセッションを管理する

どちらも URL 書き換えを有効にする方法を説明していますが、クライアントで Cookie が無効になっていることをサーバーが認識する方法については説明していません。