java web 登录后更新JSESSIONID

来源url:http://blog.csdn.net/u014538198/article/details/41596647

登录前的请求一般都是http的，http是不安全的，假设用户登录前的JSESSIONID被人取得，如果登录后不变更JSESSIONID的话，即使登录请求是https的，该用户仍然会被他人冒充。

 

javaweb程序强制更新JSESSIONID的方法

Java代码  

1. /** 
2.  * 重置sessionid，原session中的数据自动转存到新session中 
3.  * @param request 
4.  */  
5. public static void reGenerateSessionId(HttpServletRequest request){  
6.       
7.     HttpSession session = request.getSession();  
8.       
9.     //首先将原session中的数据转移至一临时map中  
10.     Map<String,Object> tempMap = new HashMap();  
11.     Enumeration<String> sessionNames = session.getAttributeNames();  
12.     while(sessionNames.hasMoreElements()){  
13.         String sessionName = sessionNames.nextElement();  
14.         tempMap.put(sessionName, session.getAttribute(sessionName));  
15.     }  
16.       
17.     //注销原session，为的是重置sessionId  
18.     session.invalidate();  
19.       
20.     //将临时map中的数据转移至新session  
21.     session = request.getSession();  
22.     for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
23.         session.setAttribute(entry.getKey(), entry.getValue());  
24.     }  
25. }  

 

 

PHP重置sessionid的方式参见：http://huangqiqing123.iteye.com/blog/1891051

转自：http://huangqiqing123.iteye.com/blog/2031455

顶

0