Session安全性探究和应用.docVIP

Session安全性探究和应用 　　【摘要】本文深入研究了在身份认证中维持用户状态信息的重要对象Session的工作原理，并依据现有的理论基础，从Web应用程序中身份认证面临的实际问题出发，提出了非正式注销存在的安全性问题。论文结合Session的工作过程和利用浏览器的缓存技术，提出具有实用性的解决方案，使Session在Web身份认证中的应用更加合理、有效，增加了身份认证的安全性。为了验证结论的有效性，将本文提出的解决方案应用于基于Web的网络考试系统中，证明了这种方案的适用性，达到本文的设计目的。 【关键词】Web身份认证；Session失效；安全性 Abstract：This article further study the working principle of Session which are important object maintaining the user status information at identity authentication.And according to existing theory，starting from the identity authentications practical problems in the web application，proposed the safety problem of informal logging out and etc.This paper combines the working process of Session，and using browser’s cache technology，proposed practical solutions.It makes Sessions application in the web identity authentication more reasonable and effective，and increases identity authentications safety.In order to verify the validity of the conclusion，we apply the proposing solution to webs network test system，it proves applicability of this scheme，and achieve this papers designed purpose. Key words：Web identity authentication；Session invalid；security 1.引言 Web中最薄弱部位的安全程度决定了整个网站的抗攻击能力，身份认证恰恰就是网站应用中最薄弱的环节，深入研究身份认证有助于整个网站的安全与稳定。但是很多开发人员由于缺少对Session的了解，影响了Web应用程序的安全。 2.Session机制 2.1 Session产生背景 随着动态网站兴起，保持用户会话的连续性成为网站开发中身份认证的关键问题，Session在Web技术中的地位也日趋显著。由于HTTP协议的无状态记忆特性，客户端脚本每次和服务器进行交互时都需要开始一个新的连接。也就是说，服务器认为两次连续的请求之间没有任何关系。 在电子商务等一些交互网站中，应用程序要分辨不同的用户和在不同的页面之间传递数据等，所以保持会话的连续性是必不可少的。为了弥补HTTP协议的缺陷，Session产生了。 2.2 Session定义 Session在RFC2109中的定义是：“允许客户端和服务器端通过使用HTTP的请求与响应头中的数据来交换状态信息的技术”。Session是开发动态Web网站时，身份认证中使用的重要对象之一，是基于HTTP协议的、有状态的、利用具体的动态页面技术来实现的。 在不同的环境中Session有不同的含义。从Web用户角度来讲，注册用户打开浏览器登录一个动态网站、访问网站、关闭浏览器结束访问，这一系列的动作构成一个会话；而从Web开发者的角度来讲，Session是一个数据结构，用来存储用户登录信息。 2.3 Session机制的工作流程 对于每一个第一次向服务器提出网页请求的用户，Web服务器都会运用一个非常复杂的算法给它分配一个不会重复的编号，我们叫它SessionId，这个编号由24位字符组成，并保存在提出该申请的用户的客户端Cookie中，如果浏览器不存储Cookie，则它将依赖于URL进行工作。服务器用它来区分不同用户，同时服务器会自动产生与其相对应的Session对象。 一个网站不可