SAP Cloud for Customer和Hybris Commerce的session保护机制
C4C in ABAP
參閱Jerry的SAP社區(qū)博客:
Regarding cookie manipulation in CL_HTTP_CLIENT to avoid CSRF token validation failure issue
https://blogs.sap.com/2017/08/04/regarding-cookie-manipulation-in-cl_http_client-to-avoid-csrf-token-validation-failure-issue/
Hybris
這個HybrisSessionFixationProtectionStrategy是個什么東東?
Spring里自帶了一個SessionFixationProtectionStrategy:
Session fixation attack(會話固定攻擊)是利用服務(wù)器的session不變機制,借他人之手獲得認(rèn)證和授權(quán),然后冒充他人。如果應(yīng)用程序在用戶首次訪問它時為每一名用戶建立一個匿名會話,這時往往就會出現(xiàn)會話固定漏洞。然后,一旦用戶登錄,該會話即升級為通過驗證的會話。最初,會話令牌并未被賦予任何訪問權(quán)限,但在用戶通過驗證后,這個令牌也具有了該用戶的訪問權(quán)限。
防止會話固定攻擊,可以在用戶登錄成功后重新創(chuàng)建一個session id,并將登錄前的匿名會話強制失效。
Hybris的做法:繼承了HybrisSessionFixationProtectionStrategy,override了onAuthentication:
在第135行將之前的session強制失效。
這個實現(xiàn)的位置:
要獲取更多Jerry的原創(chuàng)文章,請關(guān)注公眾號"汪子熙":
總結(jié)
以上是生活随笔為你收集整理的SAP Cloud for Customer和Hybris Commerce的session保护机制的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: flash如何制作图片的分层显示效果
- 下一篇: Jerry's spark demo a