Tomcat会话超时时如何记录操作日志,满足安全审计要求

众所周知,在实际的Web应用程序中,会话管理一般都采用Web容器会话管理功能。

使用Tomcat做Web服务器也是如此,而且从安全的角度考虑,尽量避免去更改和干预Web容器的会话管理功能。

Tomcat会话管理功能肯定比我们自己做出来要全面和可靠,况且Tomcat是主流开源社区维护的,有专门的团队来开发和维护,一旦爆出安全漏洞,也能很快被修复。

在实际开发中,为了满足安全审计的要求,Web应用程序一旦有会话注销,就应该记录操作日志,注销一般分为操作者主动注销、应用程序检测到异常攻击主动注销会话、超时注销会话。

对于主动注销和检测到攻击注销会话,能够很容易的记录操作日志,达到要求。

但是对于超时会话注销,很多人都感觉没办法实现,一种比较常见的方法就是自己开发一个心跳程序,通过客户端页面不断向服务端发送心跳,服务端通过线程来接收心跳和轮训来去超时注销,从而记录操作日志。

这种虽然能够达到记录操作日志的效果,但是客户端向服务端多发了很多请求,一旦系统并发量很高的时候,服务端业务压力会增加,不是一个好的处理方式。

Web容易能够配置会话超时时间,就应该能够监听会话的创建和注销吧?答案是肯定的,Tomcat确实可以通过HttpSessionListener来实现,Session创建事件发生在每次一个新的session创建的时候,类似地Session失效事件发生在每次一个Session失效的时候。

这个接口也只包含两个方法,分别对应于Session的创建和失效:

public void sessionCreated(HttpSessionEvent se);

public void sessionDestroyed(HttpSessionEvent se);

所以我们只要实现HttpSessionListener,在sessionDestroyed方法中可以实现记录操作日志的功能。

具体需要在我们Web应用程序的web.xml文件中来配置下我们实现的监听类,代码样例和web.xml配置如下:

1)代码样例

public class SessionManager implements HttpSessionListener
{

    public void sessionCreated(HttpSessionEvent se)
    {
        // ....
    }

    public void sessionDestroyed(HttpSessionEvent se)
    {
        // ......
    }
}

2)web.xml配置

<session-config>
<session-timeout>30</session-timeout>
</session-config>
<listener>
<listener-class>com.test.SessionManager</listener-class>
</listener>  
时间: 2024-09-30 09:08:07

Tomcat会话超时时如何记录操作日志,满足安全审计要求的相关文章

Tomcat会话超时时怎样记录操作日志,满足安全审计要求

众所周知.在实际的Web应用程序中,会话管理一般都採用Web容器会话管理功能. 使用Tomcat做Webserver也是如此,并且从安全的角度考虑,尽量避免去更改和干预Web容器的会话管理功能. Tomcat会话管理功能肯定比我们自己做出来要全面和可靠,况且Tomcat是主流开源社区维护的.有专门的团队来开发和维护.一旦爆出安全漏洞,也能非常快被修复. 在实际开发中,为了满足安全审计的要求.Web应用程序一旦有会话注销.就应该记录操作日志.注销一般分为操作者主动注销.应用程序检測到异常攻击主动注

Spring boot学习(六)Spring boot实现AOP记录操作日志

前言 在实际的项目中,特别是管理系统中,对于那些重要的操作我们通常都会记录操作日志.比如对数据库的CRUD操作,我们都会对每一次重要的操作进行记录,通常的做法是向数据库指定的日志表中插入一条记录.这里就产生了一个问题,难道要我们每次在 CRUD的时候都手动的插入日志记录吗?这肯定是不合适的,这样的操作无疑是加大了开发量,而且不易维护,所以实际项目中总是利用AOP(Aspect Oriented Programming)即面向切面编程这一技术来记录系统中的操作日志. 日志分类 这里我把日志按照面向

MVC 记录操作日志与过滤特殊字符

最近进行的MVC系统需要用到记录操作日志和过滤特殊字符的功能,如果每个action中都调用记录日志的方法就太麻烦了,所以根据需要结合mvc的过滤机制 写了个特殊字符验证与记录操作日志的公用类: 1 public class CustomFilterAttribute : ActionFilterAttribute 2 { 3 public CustomFilterAttribute() 4 { 5 IsLog = false; 6 FilterSpecialChar = true; 7 } 8

ThreadLocal 在记录操作日志中的应用

ThreadLocal,很多地方叫做线程本地变量,也有些地方叫做线程本地存储,其实意思差不多.可能很多朋友都知道ThreadLocal为变量在每个线程中都创建了一个副本,那么每个线程可以访问自己内部的副本变量 在HandlerInterceptor的preHandle 中可以截取crud等操作的一些url public class PlatformLogInterceptor implements HandlerInterceptor { private Logger log = LoggerF

Spring aop 记录操作日志 Aspect

前几天做系统日志记录的功能,一个操作调一次记录方法,每次还得去收集参数等等,太尼玛烦了.在程序员的世界里,当你的一个功能重复出现多次,就应该想想肯定有更简单的实现方法.于是果断搜索各种资料,终于搞定了,现在上代码 环境: SpringMvc + myBatis jar包 :      (aspect.jar也行,我原来项目中有,便没有替换了) 1.自定义注解类   ArchivesLog.java(获取Controller描述用的) package com.noahwm.uomp.archive

如何判断卡片中脱机交易时是否记录交易日志?

a.通过卡片中的数据元tag9F68,卡片附加处理选项中的第2字节的第5bit位来标识,当9F68第2字节的第5bit位为1时,表示脱机批准的交易,记录交易日志,为0时不记录脱机批准的交易日志. b.卡片应具备记录交易日志功能选项,该功能在个人化时通过卡片附加处理开启或关闭.当卡片附加处理(标签“9F68”)中第2字节第5位为‘1’时,表示脱机批准的交易,卡片记录交易日志:当卡片附加处理中第2字节第5位为‘0’时,表示脱机批准的交易,卡片不记录交易日志. c.是否启用交易日志功能由发卡机构决定.

自定义日志注解 + AOP实现记录操作日志

需求:系统中经常需要记录员工的操作日志和用户的活动日志,简单的做法在每个需要的方法中进行日志保存操作, 但这样对业务代码入侵性太大,下面就结合AOP和自定义日志注解实现更方便的日志记录 首先看下一个简单的操作日志表 action_log id subject(日志主题) content(日志内容) create_by create_time 日志主题可以用下面的枚举类来实现 package cn.bounter.common.model; /** * 应用日志主题枚举类 * @author si

Winform程序当运行exe 停止响应时 如何记录下日志?

通常我们在写程序时会对程序中可能出错的程序段用try catch 捕捉获取.这样程序运行中一旦有bug.用户也能快速定位到错误段去了解出错原因. 遇到的问题: 但是遇到这样的情况 有时候没有用到try catch 时出错了.程序直接停止响应.这时候对于开发人员就比较伤脑筋.无法快速debug C#程序如何捕捉未try/catch的异常--不弹"XXX已停止工作"报错框? 解决方法: 1:在Main主程序中添加代码 设置 Windows 窗体线程和其他线程上发生的异常发生异常的事件处理的

salt-api return mysql返回的使用,记录操作日志

说在前面 折腾这个搞了半天,现做下记录 安装依赖(操作只在master端) yum install mysql-python or pip install mysql-python master端本地数据库中创建对应的表结构 CREATE DATABASE `salt` DEFAULT CHARACTER SET utf8 DEFAULT COLLATE utf8_general_ci; USE `salt`; -- -- Table structure for table `jids` --