会话绑定 修复建议

（1）合规方案
对于如登录、修改密码、交易等重要操作，对于用户会话下用户的设备信息是否变化做判断，当前会话下用户设备信息发生变化时，系统应终止操作，给用户返回登录界面。
基于设备指纹的会话绑定技术，可实现应用系统对敏感业务操作的用户行为实时判别能力。
（2）安全编码示例：
1）获取设备指纹
A.Android设备指纹
对于Android客户端应用，可通过设备中获取的device ID、Pseudo-Unique ID、mac地址、cpu number、系统版本等信息进行计算（hash处理）得到唯一标识字符串，或者在客户端随机生成一个UUID字符串，然后与用户会话绑定。

    public static String getDeviceId(Context context) {
        StringBuilder deviceId = new StringBuilder();
// 渠道标志 
        deviceId.append("a");
        try {
//wifi mac地址 
            WifiManager wifi = (WifiManager) context.getSystemService(Context.WIFI_SERVICE);
            WifiInfo info = wifi.getConnectionInfo();
            String wifiMac = info.getMacAddress();
            if (!isEmpty(wifiMac)) {
                deviceId.append("wifi");
                deviceId.append(wifiMac);
                PALog.e("getDeviceId : ", deviceId.toString());
                return deviceId.toString();
            }
//IMEI（imei） 
            TelephonyManager tm = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
            String imei = tm.getDeviceId();
            if (!isEmpty(imei)) {
                deviceId.append("imei");
                deviceId.append(imei);
                PALog.e("getDeviceId : ", deviceId.toString());
                return deviceId.toString();
            }
//序列号（sn） 
            String sn = tm.getSimSerialNumber();
            if (!isEmpty(sn)) {
                deviceId.append("sn");
                deviceId.append(sn);
                PALog.e("getDeviceId : ", deviceId.toString());
                return deviceId.toString();
            }
//如果上面都没有， 则生成一个id：随机码 
            String uuid = getUUID(context);
            if (!isEmpty(uuid)) {
                deviceId.append("id");
                deviceId.append(uuid);
                PALog.e("getDeviceId : ", deviceId.toString());
                return deviceId.toString();
            }
        } catch (Exception e) {
            e.printStackTrace();
            deviceId.append("id").append(getUUID(context));
        }
        PALog.e("getDeviceId : ", deviceId.toString());
        return deviceId.toString();
    }
    /**
     * 得到全局唯一UUID
     */
    public static String getUUID(Context context) {
        SharedPreferences mShare = getSysShare(context, "sysCacheMap");
        if (mShare != null) {
            uuid = mShare.getString("uuid", "");
        }
        if (isEmpty(uuid)) {
            uuid = UUID.randomUUID().toString();
            saveSysMap(context, "sysCacheMap", "uuid", uuid);
        }
        PALog.e(tag, "getUUID : " + uuid);
        return uuid;
    }

B.iOS设备指纹
对于iOS客户端应用，可通过获取IDFA、IDFV、UDID、系统版本号等设备标识，然后经过计算（hash处理）后得到唯一标识字符串，然后与服务器端用户会话进行绑定。

NSString *uuid = [[NSUUID UUID] UUIDString];//获取UUID
NSString *idfv = [[[UIDevice currentDevice] identifierForVendor] UUIDString];//获取IDFV标识
NSString *identifierForAdvertising = [[ASIdentifierManager sharedManager].advertisingIdentifier UUIDString];//获取IDFA标识

C.Web指纹识别
对于web应用，结合浏览器的User Agent、语言、颜色深度、屏幕分辨率、时区、是否具有会话存储、是否具有本地存储、是否具有索引DB、IE是否指定AddBehavior、是否有打开的DB、CPU类型、平台、是否DoNotTrack、已安装的Flash字体列表、Canvas指纹、WebGL指纹、浏览器的插件信息、是否安装AdBlock等，然后这些值通过散列函数传递产生指纹来对用户的设备进行精确识别后，与会话进行绑定。

var fingerprint = new Fingerprint().get();

2）会话与设备指纹绑定
用户登录时，服务器端应对同一客户端登录的用户数量和一个用户同时在多个客户端登陆进行限制，将设备信息与用户会话绑定，并且对会话进行监听。实现方案如下：
建立用户登录会话操作类，在用户登录时将用户名、设备信息、Session id存到Session中去。

    public class UserSessionAdd {
        private String clientInfo;
        private String sessID;
        private String userName;
        public String getUserName() {
            return userName;
        }
        public void setUserName(String username) {
            this.userName = username;
        }
        public String getClient() {
            return clientInfo;
        }
        public void setClient(String client) {
            this.clientInfo = client;
        }
        public String getSessid() {
            return sessID;
        }
        public void setSessID(String sessid) {
            this.sessID = sessid;
        }
    }

建立一个监听器，实现HttpSessionAttributeListener接口，监听每一个Attribute的增加、编辑、删除事件。监听器中还要建立一个map，将所有的session放入这个map中。

public class MyListener implements HttpSessionAttributeListener {
    Map<String, HttpSession> map = new HashMap<String, HttpSession>();
    //对用户Session操作进行监听
    public void attributeAdded(HttpSessionBindingEvent event) {
        String name = event.getName();
        if (name.equals("usa")) {
            UserSessionAdd usa = (UserSessionAdd) event.getValue();
            if (map.get(usa.getAdd()) != null) {
                HttpSession sess = map.get(usa.getAdd());
                //获取用户Session Attribute
                UserSessionAdd usa1 = (UserSessionAdd) sess.getAttribute("usa");
                sess.removeAttribute("usa");
                sess.invalidate();
            }
            map.put(usa.getAdd(), event.getSession());
        }
    }
    public void attributeRemoved(HttpSessionBindingEvent event) {
        String name = event.getName();
        if (name.equals("usa")) {
            UserSessionAdd usa = (UserSessionAdd) event.getValue();
            map.remove(usa.getAdd());
        }
    }
    public void attributeReplaced(HttpSessionBindingEvent event) {
        // TODO Auto-generated method stub
        `

    }
}

在web.xml中配置监听器，对会话进行监听。
```xml
<listener>
  <listener-class>监听器类的路径，如：com.web.MyListener</listener-class>
</listener>

用户登录时，将获取到的设备信息、Session ID、用户名存入Session，实现的监听器会对用户的会话进行监听并依据安全要求进行操作。

//获取用户设备指纹信息
String userClient = getClientInfo(request.getRemoteHost());
String sessionId = request.getSession().getId();
UserSessionAdd usa = new UserSessionAdd();
usa.setUserName(username);
usa.setSessID(sessionId);
usa.setClient(userClient);
request.getSession().setAttribute(“usa”, usa);