基於會話屬性的Spring MVC安全性
[英]Spring MVC security based on Session Attribute
問題描述
我正在使用基於會話屬性的安全方案。 我知道Spring具有Acegi Security,但是我沒有太多時間研究該模塊。 我只想分享一下以征求意見。
偽代碼是這樣的。
成功登錄后,我正在用戶會話上設置屬性。 我作為會話屬性放置的對象是帶有特權映射的簡單javabean。
公共類UserInfo {public String getRole(){}; 公共地圖checkPrivilege(){}; // getters和setters}
會話屬性還包含用戶的角色。 (他可以是用戶/訪客/管理員/超級管理員)。 現在有一些授權給用戶的特權。
對於我的JSP,我只是簽出用戶會話以了解他的角色和特權。
我的粗略代碼是使用JSTL這樣的
IF (User Info in Session is 'User' and has this privilege)
Add Button is shown
Else
No Add Button is shown.
我有以下問題:
- 會話屬性是否被認為安全,其他任何人都不能嗅探或破解?
- 基於這些方案的安全性是否被認為足夠安全?
1 個解決方案
解決方案1
1 已采納 2010-10-13 01:38:23
會話屬性僅存儲在服務器端,因此是安全的。
就安全性而言,將這些安全性標識符放入會話屬性中沒有問題。 但這是Web應用程序安全性的簡單組成部分! 困難的部分是安全基礎結構的其余部分,我擔心您尚未考慮過。
我建議您調查Spring Security。
MVC中的Spring會話管理,Spring安全性會話與HTTP會話
[英]Spring session management in mvc, Spring security session vs http session
Spring MVC會話:預期的會話屬性“用戶”,已在會話中存在
[英]Spring MVC Session: Expected Session attribute 'user', which already there in Session
Spring Security-訪問基於屬性的控制器方法
[英]Spring security - Access to a controller method based on an attribute
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.