敏感页面的Java Web应用程序二级安全性
我正在构建一个以买卖为特征的web应用程序,这意味着我必须收集用户信用卡信息。因此,我希望用户重新验证自己,以访问敏感页面,如更改密码、更新/删除信用卡等 我正在使用Struts、Springs和Hibernate 我在这里制定了一个小计划,但我想得到一些反馈和批评敏感页面的Java Web应用程序二级安全性,java,authentication,security,Java,Authentication,Security,我正在构建一个以买卖为特征的web应用程序,这意味着我必须收集用户信用卡信息。因此,我希望用户重新验证自己,以访问敏感页面,如更改密码、更新/删除信用卡等 我正在使用Struts、Springs和Hibernate 我在这里制定了一个小计划,但我想得到一些反馈和批评 在Springbeans中维护敏感页面URL的列表 创建一个servlet过滤器,用于查找页面是否敏感,如果页面敏感,它将在会话中检查敏感令牌(创建令牌时会有时间) 如果令牌不存在或令牌寿命超过5分钟,请再次将用户重定向到身份验证
- 在Springbeans中维护敏感页面URL的列表
- 创建一个servlet过滤器,用于查找页面是否敏感,如果页面敏感,它将在会话中检查敏感令牌(创建令牌时会有时间)
- 如果令牌不存在或令牌寿命超过5分钟,请再次将用户重定向到身份验证页面
- 成功登录后,身份验证页面将创建一个令牌并将其置于会话中
还有其他更好的办法吗?提前感谢。如果在filter中执行,则此配置可能会作为筛选器的配置参数存储在web.xml中
顺便说一句,我认为将用户重定向到登录页面可能会降低可用性。你有没有想过在使用信用卡的页面上添加密码字段?在这种情况下,您可以大大简化系统。如果在filter中执行,则此配置可能会作为筛选器的配置参数存储在web.xml中
顺便说一句,我认为将用户重定向到登录页面可能会降低可用性。你有没有想过在使用信用卡的页面上添加密码字段?在这种情况下,您可以大大简化您的系统。在执行敏感操作时,重新身份验证是一种非常好的方法,但完全避免某些任务也有好处-也许信用卡信息的处理可以由某些第三方来处理?在执行此操作时,重新身份验证是一种非常好的方法敏感操作但完全避免某些任务也有好处-也许信用卡信息的处理可以由第三方处理?谢谢Alex,但我的一些敏感页面只显示信息(地址、paypal帐户等),因此此解决方案不会在所有情况下都有效。顺便说一句,我的授权将只要求密码。。用户名显示为标签。谢谢Alex,但我的一些敏感页面只显示信息(地址、paypal帐户等),因此此解决方案不会在所有情况下都有效。顺便说一句,我的授权将只要求密码。。用户名显示为标签。