OFBiz中的session管理
OFBiz的WorkEffort应用的session存放在runtime/catalina/work/0.0.0.0/workeffort/SESSIONS.ser中,其他应用也有对应目录。
这个文件在shutdown的时候生成,在重启后删除。
OFBiz中另一个和session相关的内容,是externalLoginKey。在URL中呈现externalLoginKey,存在安全问题,用户可以在历史记录中重新访问,就无需登录了。
externalLoginKey是用于跨app免登录的功能。
在framework/security/config/security.properties有security.login.externalLoginKey.enabled配置,可以控制该配置。
另外可以启用security.login.tomcat.sso,以替代externalLoginKey的功能。
这里的讨论比较清楚,有以下安全隐患:
- 浏览器历史记录;
- 服务端访问日志;
- 外链时referer日志。