Hallo,
ich habe eine Struts-Applikation, mit einem jaas-Login-Mechanismus.
Ich nutze den Tomact 5.5.12 und versuche das Sicherheitsloch des Session Fixation zu umgehen. Momentan ist es so, dass beim ersten Betreten der Loginseite eine Session generiert wird, die nach erfolgreichem Login beibehalten wird. (SessionId ist gleich)
Jetzt meine Frage:
Kann man in jaas irgendwo eingreifen und erziehlen dass beim Einloggen eine neue Session erzeugt wird, die dann auch den aktuellen eingeloggten Zustand enthält?
Ich habe nach dem Login in einer Aktion-Klasse mit
request.getSession().invalidate();
request.getSession());
die aktuelle Session gekillt und eine neue angelegt. Jedoch muss sich der Nutzer beim Zugriff einer geschützten Seite wieder einloggen.
Kann mir jemand einen Tipp geben, an welcher Stelle ich eingreifen kann?
Sicherlich kann ich das ganze Login-Verfahren händlisch machen, aber es gibt ja jaas - warum nicht das nutzen.
Beste Grüße,
Kirie
ich habe eine Struts-Applikation, mit einem jaas-Login-Mechanismus.
Ich nutze den Tomact 5.5.12 und versuche das Sicherheitsloch des Session Fixation zu umgehen. Momentan ist es so, dass beim ersten Betreten der Loginseite eine Session generiert wird, die nach erfolgreichem Login beibehalten wird. (SessionId ist gleich)
Jetzt meine Frage:
Kann man in jaas irgendwo eingreifen und erziehlen dass beim Einloggen eine neue Session erzeugt wird, die dann auch den aktuellen eingeloggten Zustand enthält?
Ich habe nach dem Login in einer Aktion-Klasse mit
request.getSession().invalidate();
request.getSession());
die aktuelle Session gekillt und eine neue angelegt. Jedoch muss sich der Nutzer beim Zugriff einer geschützten Seite wieder einloggen.
Kann mir jemand einen Tipp geben, an welcher Stelle ich eingreifen kann?
Sicherlich kann ich das ganze Login-Verfahren händlisch machen, aber es gibt ja jaas - warum nicht das nutzen.
Beste Grüße,
Kirie
