我使用HttpSession将用户数据(例如名称,密码和电子邮件)存储在setAttribute中。
我想知道将关键数据存储在HttpSession中是否安全。
最佳答案
尝试将登录信息存储在以下用户存储库之一中(登录时检查有效性):
它不是身份验证选项的完整列表。
您至少应使用SSL / HTTPS进行登录和其他任何敏感数据。
看一下这篇文章:http://en.wikipedia.org/wiki/Session_hijacking
关于此问题,这里有一个很好的SO讨论:What is the best way to prevent session hijacking?
这里还提到了一些安全问题:What should every programmer know about web development?