一、问题:
在开发web项目是时,安全问题有以下几种问题:
(1)用户可以自己伪造一个URL请求来进行访问吗?
(2)用户不在服务器登录,可以自己封装出用户名、密码进行访问吗?
(3)url的参数可以多次尝试进行暴力破解吗?
二、分析思路:
首先,什么是安全,用户自己拼接的URL请求就一定有错吗?
我们的JS可以写一个请求到后台,用户自己为什么不可以?
那么,安全的情形是什么?
(1)用户在服务器SESSION里有登录的记录,并且没有超时,是可以正常请求的
(2)请求的用户名密码验证是正确的,同时具有该请求权限
(3)拼接的参数格式也是正确的,后台接受的数据匹配
三、解决:
(1)使用JWT、SHIRO进行安全验证,去掉用户名密码不匹配的
(2)在URL进行访问的时候,指定访问的上下文,必须在某请求发出后,才能发出当前请求【referrer 属性可返回载入当前文档的文档的 URL】
(3)对URL请求进行加密,用户不能随便看到后台请求的URL信息【感觉加密没啥用,以加密文本也可以请求,只是不能判断意义而已】
