【发布时间】:2011-01-29 09:31:42
【问题描述】:
在用户进行身份验证时重置会话 cookie 被认为是一种良好的安全做法。
如何用 Java 做到这一点?
到目前为止我的尝试是成功的,但我想知道是否有更好的方法:
public static HttpSession resetSessionId(HttpSession session,
HttpServletRequest request) {
session.invalidate();
session = request.getSession(true);
return session;
}
【问题讨论】:
-
我认为这是最好的方式...
-
我试过你的方法。但是 JSESSIONID 没有重置。你知道为什么吗?我使用 Resin 作为我的 Web 容器。