SecureSession

SecureSession是Java平台上的一款高安全、高可用、高性能、高可扩展的Session管理系统。

1. 软件需求
·JDK5 +
·Oracle10g +
·Servlet2.3 +
SecureSession采用JDK5与Oracle10g进行开发，可以部署到任何支持Servlet2.3规范的服务器上。

2. 概述
SecureSession是一款独立的Session管理系统。独立意味着：
·它与应用服务器无关：任何应用服务器只要支持Servlet2.3规范都可以使用；
·它与你所采用的框架无关；
·它与你的应用无关：你无需修改任何代码就可以将它作为独立的一层（例如通过Servlet filter）添加到现有的Web应用之上；
·它与Session数据无关：它只提供一个每次变化的Session id，它不与Session数据关联；
·它与JEE容器缺省的Session标识符jsessionid无关：你可以使用一个任意的标识符。

3. 高安全特征
在基于Web的应用中，Session id代表了用户身份。应用服务器通常只为用户的每次会话提供一个固定不变的Session id，因此攻击者很容易利用这一点进行各种危险性攻击。
SecureSession通过下列措施，提供了一个极端安全的Session id。
·64位长度
·256位加密
·IP地址绑定
·不接受任何预设值
·每次变化
·旧值立即失效
·httponly
·系统内唯一
·支持任意超时时间
·支持任意的Session Key，不必是固定的“jsessionid”
·支持通过cookie、URL或同时通过cookie和URL传递
因此SecureSession可以有效地防止下列Session攻击，或极大地提高了下列攻击的难度。
·Session拦截
·Session猜测
·Session强力攻击
·Session固定
·Session劫持（应用级别）
其实，SecureSession不仅对上述攻击有效，它对基于固定的Session Id所进行的各种攻击以及需要通过多个画面才能完成的各种攻击也能有效避免。

4. 应用特征
除上述安全特征以外，SecureSession还为Web应用提供了下列功能：
·避免用户重复登录
·避免用户重复提交
·避免用户打开多个浏览器窗口
·避免用户打开多个浏览器Tab
·以更优雅的方式控制浏览器的后退按钮
·支持为不同用户设置不同的超时时间
·支持为不同的Action设置不同的超时时间
·可以控制Web应用的负载水平
·支持Oracle RAC或独立的数据库
·支持海量数据（最大100亿用户，100台数据库，100个分区表）
·支持多种负载平衡算法
·支持不同的Log系统
以上这些特征是所有设计良好的Web应用都需要识别并解决的问题。

5. 高性能
SecureSession通过下列技术实现了高性能：
·线程池
·连接池
·垂直分割
·水平分割
·数据库优化

6. 其它高级特性
基于Oracle RAC，提供了失败恢复、负载平衡、高可用、高可扩展等各种高级特性。

7. 适用范围
1. 核心组件
SecureSession不仅提高了Session的安全性，而且还解决了所有Web应用都要面临的许多问题，因此可以作为核心组件，应用到任何Web应用中。
2. 电子支付
特别适用于网上支付、手机支付等各种支付平台。
3. 网站
特别适用于银行、保险、证券、政府、电子商务、大型企业等各种对安全性要求较高的Web应用或Web服务。实际上，安全是所有Web应用必须具备的基本特征，因此从这一点上来说，它适合于所有Web应用。
4. 硬件
可以与各种硬件认证设备例如U宝、U盾等结合，以提供更高的安全性。
5. 其它
其它各种可能的应用。