session中用户信息改变问题

最新推荐文章于 2023-12-28 14:54:51 发布
转载 最新推荐文章于 2023-12-28 14:54:51 发布 · 662 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
原文链接:http://www.cnblogs.com/zcsj/p/6635349.html
本文探讨了在Web项目中,由于不当操作Session中的用户对象导致的数据一致性问题。在后台代码逻辑处理中,直接修改Session对象可能导致后续请求获取到已更改的信息,从而引发业务逻辑错误。文章建议在非特殊需求下,应避免直接操作Session中的对象,而是创建新对象或拷贝原有对象进行操作。

问题描述:

  在web项目中,我们经常将用户登录信息放在session中用来做后续的权限判断等操作,但最近在项目中发现一个奇怪的现象,session中的用户信息和登录时的信息有了差异。

原因:

  在后台代码逻辑处理中,我对从session拿到的用户对象做了set属性操作,而session中保存的是对象的引用,当在后台代码中做了数据变更后,再从session中取值就是已经改变后的值。所以在后台代码中,我们在非特殊要求是下最好是不要操作session中的对象,应该重新建立一个对象或者拷贝该对象进行操作。

 

转载于:https://www.cnblogs.com/zcsj/p/6635349.html

dengqiao1965
关注
管理端更新在线用户session信息
lao_hu_的博客
11-24 597
shiro sessionDao
关于session更新的问题
weixin_34005042的博客
11-06 547
  最近在学习用ssh框架做一个实习生招聘系统,已经做了大半。今天突然想到一个问题,在登录的时候我把用户的所有信息放到session中去,那么我不同用户同时登录的时候session中的信息是否会被覆盖掉(因为在登录时放入用户信息session的key是同一个名字)。也就是说如果pc1先用张三登录,pc2再用李四登录,pc1接下去的操作中会不会显示了李四的信息?   然后我尝试了一下,用火狐浏...
用户信息存放在session.setAttribute(“userName“, “xiaoMing“)中,但在下一个页面刷新后就没session值了
weixin_60808029的博客
04-27 2375
用户xiaoMing登录成功后,将用户名放在session中,再跳转至个人信息页,刷新该页面后用户信息session 值消失了。
Session使用过程中遇到的一些坑
qq_42697271的博客
04-20 909
笔者之前使用session来管理用户登陆信息的时候,出现过这样一个问题:用户A使用上传功能的时候,存入数据库的信息是用户B信息。笔者思考了好久然后,自己手动重现了一边场景后才发现了问题所在。 目录一、问题出现的原因?二、解决办法 一、问题出现的原因? 先复现一边场景吧:主要就是用户A在S这台笔记本上登陆了用户A的账号,然后暂时没有使用上传功能,之后用户B又在S这台电脑上登陆了用户B的账号。此时用户A开始使用上传功能,上传成功后发现他上传的文件标记的归属用户是用户B。 出现这个问题的原因主要是sess.
如何使用session获取登录用户的信息
幻想的天空
07-15 3万+
1.你必须在登录成功时候,获取用户对象及user,然后把这个对象放入session中, 以后用该对象直接从session中获取就行。不过session失效后,该用户就被清空了。 2.代码 Map <String, Object> session = ActionContext.getContext().getSession(); User user = 获取用户 session.put...
spring-session-data-redis升级之坑
weixin_39439156的博客
12-28 2020
因为某些组件低版本存在漏洞问题,本次对项目的springboot版本从1.x升级到了2.x,因为其他相关的中间件也随着一起升级,在升级最后发现项目用户信息无法获取到了。
php session验证码为null_原创 | 记一次"发短信"造成的session覆盖越权
weixin_40008566的博客
12-18 293
点击上方蓝字 关注我吧相关背景大大小小的网站都是由各式各样的业务功能组合而成的。例如登录、忘记密码、查看个人信息等。一般情况下,相关的业务凭证存在设计缺陷的话,会存在类似平行/垂直越权等安全问题。常见的业务凭证及越权场景有:用户身份id(userid,例如通过userid越权查看用户信息)对象id(fileid,例如通过fileid越权查看其他用户的备案资料(身份证、手机号、住址等))基...
偶发不稳定登录超时问题
qq_26974617的专栏
07-06 261
偶发不稳定登录超时问题
java使用session登录用户信息
Forward
05-22 2万+
创建账户model: public class Account { private Integer id; /** * 联系人名称 */ private String userName; /** * 手机 */ private String phone; /** * 公司名称 */ ...
关于session存储可变对象和不可变对象
每天写一点,进步一点点
07-19 235
HttpSession可以存储键/值对,而其中值可以是不可变对象,也可以是可变对象,下面举例说明。 假设键的类型是Integer. (1)不可变对象 HttpSession session = request.getSession(); Integer value=(Integer)session.getAttribute("key"); if(key==null){ /...
为何session中存入对象后,修改对象的属性值后并没有再次存入sessionsession中存放的对象也发生改变
.鞭指云端.的技术博客
03-31 1456
遇到这样的一个业务场景:前端请求检查会员信息接口,后端用session保存会员信息以便后续业务使用。但输出的信息需要脱敏,在把会员信息对象存入session后,修改对象的属性值为脱敏值输出,但是在后续业务需要用到会员信息时再从session中获取,发现session中的对象的属性也被修改成了脱敏值,这是为什么呢? 大体代码如下: @Data public class User { private Integer id; private String name; } /** * 得到req
用户登陆成功修改SessionId
weixin_41591944的博客
12-09 4635
问题场景 用户进入登陆页面的时候会生成一个SessionId,登陆成功后会带着这个一开始生成的SessionId进行后续的操作,但是这样的话就有一个问题,恶意攻击者可以抓取一开始的这个SessionId去伪造请求,所以登陆成功后需要更新SessionId,并且让浏览器的Cooike也随之修改。 解决方案: 其实是一个很简单的修改办法,但是百度了很久,都是一些不管用的,所以自己去看了一下HttpRequset接口里面的代码。 req是HttpServletRequest ...
登录后保存用户信息Session
热门推荐
雄安少爷的博客
03-01 4万+
前端通过JS把用户信息传到Controller,然后在Controller里将信息放入HttpSession中@ResponseBody @RequestMapping(value = "/loginIn", method = RequestMethod.POST, produces = "application/json;charset=UTF-8") public String login
社会你“小峰哥“用Java实现了管理员可以修改任意用户Session的功能
【CSDN】
08-12 967
目录 1 Session会话简介 2 简单实例准备 3 动态修改用户Session场景分析 4 动态修改Session原理介绍 5 动态修改Session实现 6 高并发下的性能优化 7 完整源码+配套视频教程分享 8 留了一点小作业 1 Session会话简介 session 是另一种记录服务器和客户端会话状态的机制,并且session 是基于 cookie 实现的。服务器要知道当前请求发给自己的是谁,为了做这种区分,服务器就是要给每个客户端分配不同的"身份标识",然后客户端每次向服务
session什么情况下会改变
zhujason9107的博客
10-13 7484
准备工作:(区分浏览器窗口和浏览器标签) 1.测试代码:如图片,其中SessionDemo1类和SessionDemo2是一样的,只是类名不一样,作用是作为两个不同的被访问的资源sd1 、sd2. 2.两个不同款的多标签的浏览器(IE、百度) 开始验证:session什么情况下会改变 测试步骤: 一、同一浏览器不同标签页访问同一资源 1.打开IE浏览器窗口的一个标签页 a 访问 htt
session中保存用户登录信息
万里晴空
12-31 1万+
有时候需要在全局范围内保存用户的一些信息: @RequestMapping(value="/login.do") @ResponseBody public Map login( UserVO vo, HttpServletRequest request,HttpServletResponse response){ if(StringUtils.isBlank(vo.ge
session的传值,个人信息的修改
qq_41357948的博客
04-17 1930
session的传值,个人信息的修改 首先要在登录的时候把用户信息传到session里面 else { //权限验证session HttpSession session=request.getSession(); session.setAttribute("currentUser", currentUser); response.sendRedirect("teacher...
前端获取后端传来的session_用java编写一个web程序,登陆后,把用户信息放在session中,前端怎样获取session的值?...
weixin_39645343的博客
01-12 3413
客户端获取服务器端数据的方式,无非两种:1. 模板类似的jsp,thymeleaf之类的,原理就是后台在输出html文本的时候直接把模板里的表达式替换。如果使用jsp就用EL和JSTL表达式,thymeleaf就用th标签。这个方式所有的操作不涉及客户端,全部在服务器端完成。2. 异步请求前端使用ajax或者fetch异步请求服务器,多用于前后端分离模式。这时需要服务器有专门的Controller...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值