SpringBoot + HttpSession 自定义生成sessionId

SpringBoot + HttpSession 自定义生成sessionId

业务场景

最近在做用户登录过程中,由于默认ID是通过UUID创建的,缺乏足够的安全性,决定要自定义生成 sessionId

实现方案

正常的获取session方法如下:

java 复制代码
HttpSession session = request.getSession(true);

通过 DEBUG 找到创建 sessionId 的执行方法如下(所在的类名 ManagerBase):

generateSessionId 方法的具体实现,底层的生成 sessionId 逻辑暂时先不看。

于是就有一个想法,是不是可以继承这个类,再重写获取 sessionId的方法,最后把实现类注入到容器中,就可以实现。

说干就干,新写一个类继承 ManagerBase抽象类,但是需要我重写 loadunload 方法,我本意是只重写获取 sessionId 方法的,不想搞这么麻烦,还要再换一个方案。

随后注意到 ManagerBase 已存在的子类 StandardManager 实现了这两个方法,那么问题来了,是否可以直接继承 StandardManager 类呢?答案是可以的。

于是就有了,下面的自定义子类:

关键的来了,要怎么把 CustomStandardManager 管理类替换掉原来的执行方法呢?还是要研究源码,看下面这段代码:

管理器是从上下文中获取,那么可以尝试通过上下文对管理器赋值,找了好久终于找到了赋值的方法,如下:

sessionId的生成方式

服务器端生成sessionid的方式有许多种。下面是其中一种常见的方式:

  • 随机生成:服务器端可以使用随机数生成算法来生成一个唯一的sessionid。这种方法使用的是服务器的随机数生成器,并且通常会结合当前时间戳等其他因素,以增加sessionid的安全性和唯一性。

  • 哈希计算:服务器端可以使用一个哈希函数对一些唯一的信息进行计算,以生成一个sessionid。这些唯一信息可以包括用户的IP地址、浏览器类型、操作系统等等。

  • 使用UUID:UUID(Universally Unique Identifier)是一种标识符,具有全球唯一的特性。服务器可以使用UUID库来生成一个唯一的sessionid。

  • 使用加密算法:服务器端可以使用加密算法对一些唯一信息进行加密,以生成一个唯一的sessionid。这些唯一信息可以包括用户的IP地址、浏览器类型、操作系统等等。常见的加密算法包括MD5、SHA-1、SHA-2等。

  • 自定义生成:服务器端也可以根据自己的需求和特定的业务逻辑,设计一种特定的算法来生成sessionid。这种方法通常结合了一些特定的标识符、唯一信息和加密算法等。

需要注意的是,生成sessionid时要确保生成的sessionid具有足够的安全性和唯一性,以防止被恶意攻击者伪造或篡改。此外,服务器端还要考虑sessionid的存储和管理方式,以便能够有效地识别和验证sessionid的有效性。

相关推荐
wjs20242 小时前
状态模式(State Pattern)
开发语言
我命由我123452 小时前
Kotlin 数据容器 - List(List 概述、创建 List、List 核心特性、List 元素访问、List 遍历)
java·开发语言·jvm·windows·java-ee·kotlin·list
liulilittle2 小时前
C++ TAP(基于任务的异步编程模式)
服务器·开发语言·网络·c++·分布式·任务·tap
励志要当大牛的小白菜4 小时前
ART配对软件使用
开发语言·c++·qt·算法
武子康4 小时前
Java-80 深入浅出 RPC Dubbo 动态服务降级:从雪崩防护到配置中心秒级生效
java·分布式·后端·spring·微服务·rpc·dubbo
爱装代码的小瓶子6 小时前
数据结构之队列(C语言)
c语言·开发语言·数据结构
YuTaoShao7 小时前
【LeetCode 热题 100】131. 分割回文串——回溯
java·算法·leetcode·深度优先
源码_V_saaskw7 小时前
JAVA图文短视频交友+自营商城系统源码支持小程序+Android+IOS+H5
java·微信小程序·小程序·uni-app·音视频·交友
Maybe_ch7 小时前
.NET-键控服务依赖注入
开发语言·c#·.net
超浪的晨7 小时前
Java UDP 通信详解:从基础到实战,彻底掌握无连接网络编程
java·开发语言·后端·学习·个人开发