2

質問のタイトルのような多くの質問を読みましたが、どれも解決策を教えてくれません。

私は(struts2フレームワークを使用して)Webサイトを実装していますが、ユーザーがすでにログに記録されているかどうかを確認するための最も安全な方法がわかりません。私のサイトには支払い機能があるので、これには本当に注意する必要があります。

私が読んだすべての解決策は次のように似ています:

// Is there a "user" object stored in the user's HttpSession?
    Object user = session.getAttribute (USER_HANDLE);
    if (user == null) {
        // The user has not logged in yet.
    }
    else {
       // the user has logged in
    }

悪意のあるユーザーがユーザーオブジェクトのような偽のセッションオブジェクトを作成し、有効なパスワードなしでシステムにログインできる可能性はあるのでしょうか。

また、必要なログインページごとに、ユーザーオブジェクトがnullでないことを確認するだけでなく、データベース内のユーザー名とパスワードも確認する方法であるかどうかを知りたいですか?

4

2 に答える 2

3

たぶん、SpringSecurityやApacheShiroなどのセキュリティフレームワークを使用する必要があります

于 2013-01-14T01:25:56.200 に答える
1

Webにはさまざまなセキュリティ層があるため、セキュリティの問題は常に要件に基づいています。つまり、どの種類のセキュリティが必要かということです。しかし、あなたが述べたように、これはStruts2-Interceptorsを使用して達成できます。これは、アクションが呼び出される前後にいくつかの重要な操作を実行するための用語を提供するためです。たとえば、このリンクを参照してください。

于 2013-01-14T06:24:34.403 に答える