Как создать HttpSession, используя старый JSESSIONID?

Question

Как я могу воссоздать HttpSession (с cookie, на фильтрах сервлетов), используя JSESSIONID из еще активного сеанса, переданного в запросе?

Спасибо за помощь.

Answer 1

Теоретически это ужасное и подверженное ошибкам решение. Настоящее решение лежит где-то еще. Сохраните интересующие вас данные в некотором хранилище данных (базе данных SQL?), Которое связано с вошедшим в систему пользователем. Таким образом, вы можете просто получать доступ к одним и тем же данным при каждом входе в систему, независимо от клиентского приложения и используемого компьютера.

Answer 2

То, что вы пытаетесь сделать, это захватить сессию. Как следует из названия, это дыра в безопасности вашего приложения, потому что злоумышленник может использовать тот же механизм, чтобы выдать себя за хорошего пользователя.

Чтобы перехватить сеанс, второй клиент (мобильный браузер в вашем случае) должен знать идентификатор сеанса, поэтому, избегая входа в систему, вы ничего не получите, потому что вы просто заменяете его вводом. идентификатор сеанса.