[英]Spring MVC security based on Session Attribute
我正在使用基於會話屬性的安全方案。 我知道Spring具有Acegi Security,但是我沒有太多時間研究該模塊。 我只想分享一下以征求意見。
偽代碼是這樣的。
成功登錄后,我正在用戶會話上設置屬性。 我作為會話屬性放置的對象是帶有特權映射的簡單javabean。
公共類UserInfo {public String getRole(){}; 公共地圖checkPrivilege(){}; // getters和setters}
會話屬性還包含用戶的角色。 (他可以是用戶/訪客/管理員/超級管理員)。 現在有一些授權給用戶的特權。
對於我的JSP,我只是簽出用戶會話以了解他的角色和特權。
我的粗略代碼是使用JSTL這樣的
IF (User Info in Session is 'User' and has this privilege)
Add Button is shown
Else
No Add Button is shown.
我有以下問題:
會話屬性僅存儲在服務器端,因此是安全的。
就安全性而言,將這些安全性標識符放入會話屬性中沒有問題。 但這是Web應用程序安全性的簡單組成部分! 困難的部分是安全基礎結構的其余部分,我擔心您尚未考慮過。
我建議您調查Spring Security。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.