Ich führe eine Java-Webanwendung.httpservletrequest - neue Sitzung erstellen/Sitzung ändern Id
Mit Blick auf den Login-Code erhält es eine HttpSession aus HttpServletRequest über die Methode getSession() von HttpServletRequest. (Es verwendet einige Werte in der Sitzung für Authentifizierungszwecke)
Allerdings mache ich mir Sorgen über Session-Fixierungsangriffe, also möchte ich nach der ersten Sitzung entweder eine neue Sitzung starten oder die Sitzungs-ID ändern. Ist das möglich?
Soll das nicht eine NullPointerException geben, wenn getSession noch nicht aufgerufen wurde? – FRotthowe
Stimmt, aber wir gehen davon aus, dass die Sitzung existiert. – pablochan
Ich würde Sie aufrüsten, wenn Sie 'getSession()' anstelle von 'getSession (boolean)' verwendet haben. – BalusC