我正在爲一個網站編寫附加服務,該網站利用現有的登錄行爲,同時需要用戶提供一些額外的註冊詳細信息。新服務在不同的子域中運行。如何確保http請求來自特定用戶?
用戶將能夠在我的數據Web應用程序上創建資源,這些資源必須針對該用戶的數據收集進行保存。
我期望這個用戶標識符將被傳遞給http請求主體中的webapp。但是,我擔心惡意攻擊可能會重寫正文中的用戶名,以使請求看起來好像來自其他用戶。
我該怎麼做才能讓這個安全? (而這是否算作一個CSRF攻擊?)
新的服務是用Java編寫的,使用Spring 3
當你說春3你是否也指春安? – Eugene 2012-01-04 17:35:40
不,所有當前的安全性由主應用程序處理,我們無權訪問它,除了檢索當前的用戶guid和名稱。 – laura 2012-01-05 07:49:33