[英]Java Servlet security manual authenticating a request server-side
我有一個提供網站內容的Java Servlet,它正在使用表單身份驗證來登錄用戶並允許他們訪問內容。 每當用戶訪問受保護的資源時,他就會被重定向到一個登錄表單,該表單用於將用戶名/密碼發布到Web服務器中的j_security_check路徑。 其余的由Java安全機制處理,該機制會生成用戶會話,進行響應並將其重定向到他嘗試訪問的初始資源。 到現在為止還挺好。
我想做的是以下列方式為未登錄用戶提供對資源的訪問:GET www.myserver.com/anotherLoginMethod=aasdfJKL其中aasdfJK是服務器生成的哈希。 服務器將其與用戶帳戶保持關聯,當用戶發送此GET請求時,我需要:
1)獲取anotherLoginMethod參數值。 2)檢索關聯的用戶帳戶(憑據)。 3)自動登錄用戶,就好像他正在使用j_security_check處理程序中的用戶名/密碼進行POST一樣。
那可能嗎 ?
我嘗試在Filter中使用HttpServletRequest的login和authenticate方法,但到目前為止沒有成功。
這比較簡單。 您需要決定1.您打算將哈希值及其與用戶的關聯保留在哪里? 2.您如何建議將哈希值提供給用戶? 確保安全對於此步驟至關重要。
完成此操作后,您可以編寫一個Servlet過濾器來攔截該請求,或者可以在Servlet本身中包含邏輯,獲取與Hash值關聯的用戶,生成一個會話,就好像該用戶已成功登錄並重定向到所需的URL。 重要的是要了解與這種方法相關的安全性問題。
安全性 - URLConnection 服務器端請求偽造 (SSRF) 和文件泄露
[英]Security - URLConnection Server-Side Request Forgery (SSRF) and File Disclosure
從服務器端代碼訪問受安全性約束保護的servlet
[英]Access to servlet protected by security-constraint from server-side code
在JAVA和Servlet中客戶端和服務器端之間進行數據庫調用的安全方法?
[英]Safe method for database calls between client-side and server-side in JAVA & Servlet?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
