このアプローチを使用して、ログインフォームを検証しています。
index.jsp->含む<form action=login.jsp method="post">->値が送信されます-> login.jsp->ログインが成功した場合-> response.sendRedirect("index.jsp?valid=1");->失敗した場合->response.sendRedirect("index.jsp?valid=0");
ただし、どのユーザーもURLとしてindex.jsp?valid = 1と入力するだけで「ログイン」できます。これは正しいアプローチです。そうであれば、誰かがこれらのURLを操作することを禁止するにはどうすればよいですか。
.jspを使用しているため、JavaEEパラダイムを使用しています。Java EEは、基本およびフォームベースの認証モデルを提供します。システムへの安全なログインを実装するには、これらのモデルの1つを使用する必要があります。
チュートリアルは次のとおりです。
http://www.informit.com/articles/article.aspx?p=26139&seqNum=3
Spring Systemを使用したい場合は、チュートリアルを次に示します。
http://static.springsource.org/spring-security/site/tutorial.html
私たちのほとんどは、誰でもハッキングできる URL パラメーターではなく、認証に Cookie を使用しています。
いいえ、これは正しいアプローチではありません。ユーザーを制限することはできません。つまり、どうすればそれが可能になるのでしょうか?
この情報は、セッションのサーバー側に保存する必要があります。
あなた自身の学習のためにそれを行っているのでない限り、認証/承認を手作業でコーディングするべきではないと思います.それを行うライブラリはたくさんあります.それらを使用することは、はるかに簡単であるだけでなく、はるかに安全です.