Spring Security:保護URL和參數
[英]Spring Security: Securing URL and Parameters
問題描述
我有一個要求,其中應用程序需要根據用戶具有的角色和參數傳遞來保護用戶的URL。
例如:有四個角色PREVIEW_VIEW,PREVIEW_MODIFY,PUBLIC_VIEW,PUBLIC_MODIFY
URL命中為http:// myapp:8080 / console / editGroups.action?orgId = 1&recipientType = PREVIEW
假設用戶僅具有“ PUBLIC_VIEW”和“ PUBLIC_MODIFY”權限。
如果用戶傳遞參數'recipientType = PREVIEW',則僅當用戶具有'PREVIEW_MODIFY'權限時,頁面才可訪問。
那么如何一起保護URL和參數呢?
即僅在用戶具有PREVIEW_MODIFY權限的情況下才允許此URL( http:// myapp:8080 / console / editGroups.action?orgId = 1&recipientType = PREVIEW )並允許該URL( http:// myapp:8080 / console / editGroups.action ?orgId = 1&recipientType = PUBLIC ),僅當用戶具有PUBLIC_MODIFY權限時
謝謝
車丹
1 個解決方案
解決方案1
0 2016-02-22 12:12:35
對我來說,這是錯誤的處理方式。 客戶端可以根據定義更改URL,因為由客戶端本身來決定呼叫誰或呼叫什么。 因此,URL是放置安全信息的最糟糕的地方。 此外,如果您需要這樣走,我想您只能利用加密技術。
服務器是決定客戶端與哪個角色相關聯的服務器,因此它強制客戶端將參數與其角色組合一起包括在內。 當然,這必須是encypted(對稱加密也就足夠了),因為客戶端必須不能改變它,無論如何。
當客戶端執行請求時,服務器將檢索加密的屬性並將其解密以獲得客戶端的角色。
如果需要使該屬性易於理解,則可以清楚地顯示它,並使用其他加密的HASH參數。
帶有Spring Security中查詢參數的URL的regexMatcher
[英]regexMatcher for URL with query parameters in Spring Security
Spring Security將URL參數傳遞給Authentication Provider
[英]Spring Security pass URL parameters to Authentication Provider
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用用戶角色和 Spring Security 保護 URL
基於用戶屬性保護URL模式Spring Security
使用 Spring Security 保護 REST 微服務
使用Spring Security保護RESTful API
使用Spring Security保護GWT Servlet
使用Spring Security保護REST API
使用 Spring Security 和 LDAP 保護應用程序
帶有Spring Security中查詢參數的URL的regexMatcher
Spring Security將URL參數傳遞給Authentication Provider
Spring Security - 忽略請求參數規則的Url
相關標簽