OWASP Eine neue Sitzung nach erfolgreicher Authentifizierung oder Änderung der Berechtigungsebene neu generieren

Question

Auf der OWASP-Website wird in einem der zehn wichtigsten Elemente angegeben, dass bei einer erfolgreichen Authentifizierung oder Änderung der Berechtigungsebene eine neue Sitzung neu erstellt werden sollte.

Was wäre der richtige Weg, dies zu tun?

Eine Sache, die ein Mitarbeiter mir gesagt hat, aber ich habe nicht getestet, ist, dass wenn ein Benutzer Browser-Registerkarten verwendet, jede Registerkarte nicht seine eigene Sitzung erhält, also denke ich, würde das die gesamte Übung negieren.

Danke, Paul Speranza

Answer 1

auf der Sprache, die Sie verwenden Je, würden Sie einfach so etwas wie session.invalidate() aufrufen und dann umleiten, die eine neue Sitzung schaffen würde.