@JFinal 你好,想跟你请教个问题:关于jfinal的session验证有没有比较优雅的例子?最好能灵活配置哪些目录需要验证、哪些目录不需要验证
回复过期时间的设置,总体必定是:安全性越高,过期时间越短。例如 oschina 的 oscid 过期时间就非常地长,因为这个网站上没有什么需要特别要保护的东西,更重要的是这个网站的用户都是IT人,都拥有比较好的安全意识不会在网吧这样的场所勾选保持登录这个选项。
回复感谢jfinal总的详细解答,收益匪浅;另外token,也好sessionid也好,都是存在cookies中的信息,也都存在通过客户端攻击cookies被窃取的风险,不一定非得通过网络窃听才能获取,这种情况下https是对抗不了这种攻击
回复如http://www.wooyun.org/bugs/wooyun-2013-021587。像这种情况,除了设置过期时间降低风险、提升前端代码的安全性,jfinal在后台有没有什么好的解决方案?问题有点多哈,呵呵
回复https 只能防止传输过程被窃听,如果有木马在你本地并拥有cookie 文件的读取权限,那还是有安全问题。当然既然是有了木马,那就可能发生任何的安全问题,这是另一个话题了。前面谈到的问题是假定了你的个人电脑是安全的。
整合shiro的可以看看
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(5)
回复
过期时间的设置,总体必定是:安全性越高,过期时间越短。例如 oschina 的 oscid 过期时间就非常地长,因为这个网站上没有什么需要特别要保护的东西,更重要的是这个网站的用户都是IT人,都拥有比较好的安全意识不会在网吧这样的场所勾选保持登录这个选项。
回复
感谢jfinal总的详细解答,收益匪浅;另外token,也好sessionid也好,都是存在cookies中的信息,也都存在通过客户端攻击cookies被窃取的风险,不一定非得通过网络窃听才能获取,这种情况下https是对抗不了这种攻击
回复
如http://www.wooyun.org/bugs/wooyun-2013-021587。像这种情况,除了设置过期时间降低风险、提升前端代码的安全性,jfinal在后台有没有什么好的解决方案?问题有点多哈,呵呵
回复
https 只能防止传输过程被窃听,如果有木马在你本地并拥有cookie 文件的读取权限,那还是有安全问题。当然既然是有了木马,那就可能发生任何的安全问题,这是另一个话题了。前面谈到的问题是假定了你的个人电脑是安全的。
整合shiro的可以看看