В моем приложении Grails 2.4.0 -
- JSESSIONID cookie используется для управления сеансом.
- Значение cookie изменяется, когда пользователь выходит из системы. Заголовок Set-cookie возвращается в API, который вызывается во время выхода из системы. Это значение cookie затем используется в следующий раз, когда пользователь входит в систему через тот же браузер.
Теперь мне нужно убедиться, что cookie-файл JSESIONID изменяется каждый раз, когда пользователь входит в систему, чтобы устранить уязвимость фиксации сеанса. Я попробовал плагин Grails spring-security-core:2.0.0 -
Добавлено следующее для BuildConfig.groovy -
compile ':spring-security-core:2.0.0'
Добавлено следующее в Config.groovy -
grails.plugins.springsecurity.useSessionFixationPrevention = true
но это не сработало, как ожидалось. Никаких изменений в вышеупомянутом управлении сессиями при добавлении плагина.
Мне не интересно писать код с нуля, но, по крайней мере, если кто-то может подтвердить это. В рабочем коде я не вижу четкой обработки заголовка set-cookie и т. Д.
Я искал код рабочего грааля для изменения значения cookie сеанса, но не смог найти. Насколько я понимаю, изменение cookie только после входа пользователя не будет работать. Мне нужно убедиться, что это значение возвращается в заголовке set-cookie API, который вносит изменения, и в следующий раз любой API, который может быть вызван, должен прочитать это значение и отправить его в запросах. Поправь меня, если мое понимание неверно.