Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/spring-mvc/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
基于会话属性的Spring MVC安全性_Spring_Spring Mvc_Spring Security - Fatal编程技术网
Fatal编程技术网
  • spring/
  • 基于会话属性的Spring MVC安全性

基于会话属性的Spring MVC安全性

spring spring-mvc spring-security

基于会话属性的Spring MVC安全性,spring,spring-mvc,spring-security,Spring,Spring Mvc,Spring Security,我使用的是基于会话属性的安全方案。我知道Spring有Acegi安全性,但我没有太多时间来研究这个模块。我只是想分享这个来征求意见 伪代码是这样的 成功登录后,我将在用户会话上设置一个属性。我放置为session属性的对象是一个简单的javabean,具有权限映射 公共类用户信息{ 公共字符串getRole(){}; 公共地图检查权限(){}; //接球手和接球手 } 会话属性还包含用户的角色。(他可能是用户/来宾/管理员/超级管理员)。现在,有某些特权被授权给用户 对于我的JSP,我只是检查用

我使用的是基于会话属性的安全方案。我知道Spring有Acegi安全性,但我没有太多时间来研究这个模块。我只是想分享这个来征求意见

伪代码是这样的

  • 成功登录后,我将在用户会话上设置一个属性。我放置为session属性的对象是一个简单的javabean,具有权限映射

    公共类用户信息{ 公共字符串getRole(){}; 公共地图检查权限(){}; //接球手和接球手 }

  • 会话属性还包含用户的角色。(他可能是用户/来宾/管理员/超级管理员)。现在,有某些特权被授权给用户

    • 对于我的JSP,我只是检查用户会话中的角色和权限

    我使用JSTL的粗略代码如下

    IF (User Info in Session is 'User' and has this privilege)
    Add Button is shown
Else
    No Add Button is shown.
    我有以下问题:

  • 会话属性是否被认为是其他人无法嗅探或破解的安全属性
  • 基于这些方案的安全性是否足够安全
    • 会话属性仅存储在服务器端,因此它们是安全的

    就安全性而言,将这些安全标识符放入会话属性中没有问题。但这是web应用程序安全性的简单部分!最困难的部分是安全基础设施的其余部分,我担心您还没有考虑到这一点

    我建议您调查Spring Security。

    感谢您的快速响应。除了理解诸如在我的web.xml中分配角色之类的事情外,我还没有对安全性给出足够的思考,我觉得这有点混乱。你能告诉我一些关于安全基础设施的其他部分的想法吗?你需要一些单独的授权框架,它将与你的自定义身份验证框架集成。不过,您会发现,Spring安全性基本上就是您现在正在编写的框架。为什么还要这样做?老实说,我对安全一无所知。谢谢你的大力支持。