本文目录一览:
session_id是干什么的哦
Session用来追踪每个用户的会话,使用服务器生成的SessionID进行标识,用以区分用户。Session存放在服务器的内存中,SessionID存放在服务器内存和客户机的Cookie里面。这样,当用户发出请求时,服务器将用户Cookie里面记录的SessionID和服务器内存中的SessionID进行比对,从而找到这个用户对应的Session进行操作。所以,如果客户机禁止Cookie的话,Session也不能使用,但是对于JSP来说(.NET不熟悉),会使用URL重写的技术,在URL里面附加上SessionID,从而实现用户身份的标识。2011-10-20
用session进行用户身份验证安全吗
首先session是保存在服务端的,每个session都有一个很长的随机的,无规律的 id,这个id经常保存在用户的客户端cookies中。由于http协议的特性,每次与服务器打交道的时候,都必须将这个id作为会话的钥匙对自己的session进行操作。
从理论上来说,盗取用户cookies中的session的id来进行伪装是完全可行的。但是盗取用户的session id进行身份伪装是有难度的。总之采用session验证用户身份的方法是相当安全的,如果采用HTTPS协议进行通讯,那么我敢打包票,这绝对是100%安全了。
还有每次进行有权限相关的操作就判断一次是很麻烦的,我一般统一做个拦截器进行权限限制。
如何盗取页面session的数据
服务器每收到一个请求,就代表一次会话(SESSION)的开始,每个会话都有不同的SESSION_ID,所以每个会话都是不同的,但用户用的一直都是一个会话,直到退出此页面。 所以,服务器能区分不同的SESSION,用户只有一个SESSION,你从SESSION里取出来
黑客可以 劫获sessionid吗
sessionid是可以从cookie中获取的,如果是修改的话,你的网站不提供这方面的操作,他从网站上是没办法修改的(当然黑客也可以通过其他漏洞去修改),常遇到的是通过cookie伪造已存在的session