0
点赞
收藏
分享

微信扫一扫

http与https相互转换的过程


1       基本信息

摘要:

本文中详细的描述同一应用中http与https相互转换的过程。

分类:开发技术->J2EE->安全

标签:Http  Https

场景描述:同一应用中http与https相互转换

2       实现方案

对于https和http的不同请求,Web容器会生成两个不同的session对象;因此,如果在同一个Web应用中只有部分页面使用SSL,要保证使用SSL的页面与不使用SSL的页面间的相互切换(也就是https请求与http请求间的切换)会话保持连续,那么可以通过在访问的URL中传递sessionId来实现,也就是说在进入或退出https的URL上绑定一个sessionId,比如从http切换到https时,URL为: 


  1. https://xxx/login.do;jsessionid=<%=session.getId()%>

从https切换到http时为:


  1. http://xxx/xxx.do;jsessionid=<%=session.getId()%>

这样Web容器会优先根据这个sessionid获取session对象,而不是生成新的sessionid,就可以保证http和https切换时会话不变(该方法在Tomcat上验证过)。

3       安全验证

由于在URL上绑定的sessionid容易被窃取,为了保证会话不被劫取,会话认证时需要结合客户端IP,也就是当用户登录成功后,通过session.setAttribute("clientIP",request.getRemoteAddr())保存客户端的IP地址,在后继认证会话的合法性时必须判断客户端的IP是否是原先存储在session对象的clientIP属性的客户端IP,如果不是则该会话是非法会话。 

举报

相关推荐

0 条评论