0

ユーザーが保護されたデータにアクセスするために要求する必要がある Java Web アプリケーション用のモジュールを実装しました。これは次のように機能します。アクセス権をまだ持っていないユーザーが特定のリンクをクリックすると、サーバー側でリクエストが作成され、受信されます。電子メールを生成し、「承認者」である人に送信するようになりました。電子メールには、そのユーザーのアクセスを承認または拒否するためのリンクが含まれています。

承認されたリンク:http://hostname/App_name?action=actionClass&approved=true
拒否されたリンク:http://hostname/App_name?action=actionClass&approved=false

問題は、セキュリティも考慮してこれを行うためのより良い方法があるかどうかです。

これに関連する他の投稿を探してみましたが、結果はこの点に触れていないようです. 私が見逃したものがある場合は、質問を修正できるように、それらも指摘していただければ幸いです。

前もって感謝します

4

2 に答える 2

0

これは、メールの送信方法によって異なります。クライアント側で行っていると仮定すると、ユーザーは自分の承認リンクを傍受する可能性がありますが、これは明らかに望ましくありません。

より良い方法 (まだこれを行っていない場合) は、(もちろん HTTPS 経由で) ユーザー情報をサーバーに送信し、サーバーに電子メールを生成して送信させることです。この方法では、サーバーから電子メールで送信されたものとサーバーを制御しているもの (できればあなた) を除いて、誰も承認リンクにアクセスできません。

于 2013-07-24T08:54:17.883 に答える