一个session问题.期待高手解答,高手哦
昨天学了下session,知道可以把登录状态保存在session中,session中有个属性是sessionid ,而http是无连接协议,于是问题就来了: 假如我登录到一个页面A.jsp,这时候服务器给我的浏览器返回一个session ID ,我把用户名保存在session中,然后我跳转到B.jsp,这时浏览器把sessionID 发给服务器 ,服务器根据session ID验证session中是否有用户名来判断是否登录了.那么,要是我在另一台计算机上,像服务器发送这个sessionID,那么不是就可以拿到以登录这个权限了吗?(这里不考虑黑客怎么拿到session id,).这样session是不是不安全呢?还是我 舒服了其他什么地方,?不要说session存在服务器,不是在客户端之内的了,我知道在服务器,我是说人家拿到session iD和服务器建立连接,服务器根据session id换回了登录状态给他.
------解决方案--------------------
嗯。是的。只要服务器端没有销毁这个session那么你拿到之后是可以有这个权限的。