限制对web应用程序的访问
restrict access to to web Application
我有一个在Eclipse中开发的JSP web应用程序,作为一个动态web项目。
我们使用调用我的应用程序的第三方web应用程序,我需要验证只有来自该应用程序的请求才能在我的应用中创建新会话。
我正在尝试使用javascript来完成这项工作,并认为,作为最后的资源,使用Filter类来了解请求的来源并定义行为。
问题是,用户要求在客户端完成操作,这意味着我必须使用javascript或类似的东西,我读过JS上的document.referrer,但到目前为止控制台上没有显示任何内容。
在客户端中使用JS处理会话的任何操作都不安全,因为恶意用户很容易修改它。此外,使用referer或任何其他http头参数都是不安全的,因为它们也很容易被欺骗。
如果这个第三方应用程序直接调用你的应用程序,我想你对它有一定程度的控制。你能访问和修改它的源代码吗?还是你只是使用配置参数?
理想情况下,第三方应用程序将在向应用程序发出的每个请求上使用身份验证令牌。这些身份验证请求以及所有会话处理逻辑将始终在服务器端处理。
相关文章:
- 从应用程序脚本检查谷歌网站访问权限
- 访问离线jquery应用程序中的本地文件
- 如何安全地获取&使用Facebook应用程序访问令牌发送通知使用PHP&Javascript
- Windows 8市场应用程序JS,访问远程XML文件
- 通过chrome后台扩展或后台应用程序访问用户麦克风
- 通过SSL/TLS连接访问Vagrant上的Node.js应用程序
- 关闭并重新访问应用程序后,本地存储中的数据不会保留
- “无法下载此文件”时尝试在主屏幕Web应用程序中访问ics文件
- 如何使用一个代码库在线和离线访问 HTML5/JS 应用程序中的数据库
- 如何在angularjs应用程序中注销后,通过浏览器后退按钮禁止用户访问上一页
- 访问可扩展QML应用程序中的列表视图索引
- 是否将PDF文件保存在其他应用程序可以访问的PhoneGap应用程序中?(iOS)
- 如何处理可以'无法在Titanium应用程序上访问主机
- 三星智能电视视频播放器应用程序-访问存储在USB上的mp4
- 允许HTML5 web应用程序在浏览器关闭时访问位置'以t为中心(iOS)
- 限制对web应用程序的访问
- Docker运行,无法访问应用程序
- 如何在每次用户在新浏览器窗口中访问应用程序 URL 时以编程方式在 IE 中创建新的浏览器会话
- 聚合物1.6和聚合物-cli,从自定义元素中访问应用程序属性
- 访问应用程序安装目录