- store the old session
- invalidate the old session
- generate a new session
- copy the data of the old session into the new session
public class RenewSessionValve implements Valve{
public void invoke(Request request, Response response)
throws IOException, ServletException {
// check for the login URI, only after a login
// we want to renew the session
if (req.getRequestURI().
contains("/portal/j_security_check")) {
// step 1: save old session
Session oldSession = req.getSessionInternal(true);
SavedRequest saved = (SavedRequest) oldSession.
getNote(Constants.FORM_REQUEST_NOTE);
// step 2: invalidate old session
req.getSession(true).invalidate();
req.setRequestedSessionId(null);
req.clearCookies();
// step 3: create a new session and set it to the request
Session newSession = req.getSessionInternal(true);
req.setRequestedSessionId(newSession.getId());
// step 4: copy data pointer from the old session
// to the new one
if (saved != null) {
newSession.setNote(Constants.FORM_REQUEST_NOTE, saved);
}
}
}
}
reference: http://www.koelnerwasser.de/?p=11
分享到:
相关推荐
android获取jsessionId和发送jsessionId
tomcat修改jsessionid在cookie中的名称
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
NULL 博文链接:https://mysun.iteye.com/blog/413836
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED.... * LIABLE FOR ANY DIRECT, ...
作为纯后端开发码农,每次接口开发完的调试很重要,因此每次重复的手动获取登陆状态Token或者直接放行就太麻烦了。 APIFox提供了前置操作,可以很方便的自动获取登录状态,节省大量重复劳动时间。
有些网页需要你登录之后才...Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等。 2、之后我们要获取到用户正常登录的c
避免可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
Nginx Tomcat 集群的Session 复制,解决了,集群情况下的session复制问题。
当客户端首次请求访问服务器时,服务器先在客户端存放包含该客户的相关信息的Cookie,以后客户端每次请求访问服务器时,都会在HTTP请求数据中包含Cookie,服务器解析HTTP请求中的Cookie,就能由此获得关于客户的相关...
研究 multipart/form-data 上传协议。内附实例代码,服务端 java,客户端 c#。
色彩基础.作为网页制作工作者参改用不错.资料虽老.但有时要查个东东也很烦.
java实现多次HttpURLConnection共享session,发送两次请求共享同一个session,这样做爬虫的时候就可以爬网站登录后能看到的内容了
一个基于vitamio的视频播放器,自己的毕设作品。实现本地播放,和网络视频播放。还有本地音乐播放功能
此阀具有强制为门户中的每个身份验证重新生成新 JSESSIONID 的效果。编译安装: mvn 清洁包cp目标/changeSessionIdValve-xxx.jar tomcat/lib/ conf / server.xml - 像这样添加阀门声明: ...
关于2010那洞 我就不说了 2011那个也不说了 (这两成功率 还是顶高的) s2-013 实战 鸡肋 (要不然这工具也不会丢出来了 最好你自己打个环境来测一下 免得你以为工具不能用) ...jsessionid 能不能搞到 纯属看你人品了
cd CVE-2020-9484$ docker build -t tomcat:groovy .$ docker run -d -p 8080:8080 tomcat:groovy开发$ curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy'...
服务器端获取Session对象依赖于客户端携带的Cookie中的JSESSIONID数据。如果用户把浏览器的隐私级别调到最高,这时浏览器是不会接受Cookie、这样导致永远在服务器端都拿不到的JSESSIONID信息。这样就导致服务器端的...
jvm_route $cookie_JSESSIONID; } 2. Tomcat: upstream backend { server 192.168.0.100 srun_id=a; server 192.168.0.101 srun_id=b; server 192.168.0.102 srun_id=c; server 192.168.0.103 srun_id=d; ...