Tomcat サーバーでホストされているアプリケーション (クライアント アプリケーション) があり、このアプリケーションを別のアプリケーション (親アプリケーション) にタブとして統合する必要があります。親アプリケーションでは、ユーザー認証が行われます。親アプリケーションの Html では、iframe を使用してクライアントを統合しています。これ以外はすべて正常に動作しています。問題は、URL を知っている人がクライアント アプリケーションにアクセスできることです。どうすればこれを回避できますか。技術としてJAVA、SERVLET、HTML、Tomacatを使用しています。
ありがとう :)
考えられる解決策の1つは、トークンベースの認証です。親アプリケーションは、URLパラメータまたはHTTPヘッダーとして特別なトークンを追加する必要があります。トークンには、暗号化された形式の認証情報が含まれている必要があります。「クライアント」アプリケーションは情報を抽出し、認証が成功したか失敗したかを判断する必要があります。誰もこのトークンをコピーして、アプリケーションへの認証されていないアクセスを取得できないことを保証するには、トークンを1回限りにするか、時間範囲を制限する必要があります。
ヘッダーで x-frame-options を使用することもできます。簡単なグーグルでこの記事を見つけました:http://www.jtmelton.com/tag/x-frame-options/
これにより、権限を許可したドメイン以外のフレームでアプリが読み込まれなくなります。ブラウザの互換性をチェックするかもしれませんが、これがいつ別のブラウザに実装されたかはわかりません。
また、「host」および「referrer」ヘッダー フィールドをチェックして、応答を送信する前に、信頼できるドメインからのリクエストであることを確認できます。
OAuth は、サード パーティのアプリを承認するための標準です。認証アプローチとしてそれを確認する必要があります。
これらのいずれも、完全に安全なアプリを提供するものではありません. セキュリティの専門家に相談することを検討してください。
親アプリケーションからCookieを追加し、子アプリケーションからそのCookieを取得してユーザーを検証します (両方が同じドメインで実行されている場合)。