诞生:java中调用HttpServletRequest.getSession()
死亡:HttpSession.invalidate();超时;程序关闭
安全问题:如果每次会话都传输账号密码,被截取到了那就是永久失窃,除非你改了账号密码;如果sessionId被截取到,因为session有时效性,会失窃半小时(一般session的有效期),相比来说安全了一点点。再说session的出现是为了记住对话,而不是解决安全问题,安全问题交给https解决。
诞生:java中调用HttpServletRequest.getSession()
死亡:HttpSession.invalidate();超时;程序关闭
安全问题:如果每次会话都传输账号密码,被截取到了那就是永久失窃,除非你改了账号密码;如果sessionId被截取到,因为session有时效性,会失窃半小时(一般session的有效期),相比来说安全了一点点。再说session的出现是为了记住对话,而不是解决安全问题,安全问题交给https解决。