基於會話屬性的Spring MVC安全性

Question

我正在使用基於會話屬性的安全性方案。我知道Spring有Acegi Security，但我沒有太多時間研究這個模塊。我只是想分享這個意見徵求意見。

僞代碼是這樣的。

1. 成功登錄後，我在用戶會話上設置屬性。我作爲會話屬性放置的對象是具有特權映射的簡單javabean。

   public class UserInfo {String 0} public String getRole（）{}; public map checkPrivilege（）{}; //獲得者和設置者 }

2. 會話屬性包含用戶的角色。 （他可以是用戶/訪客/管理員/超級管理員）。現在有一些授權給用戶的特權。

對於我的JSP，我只是檢查出他的角色和權限的用戶會話。

我粗略代碼是這樣的使用JSTL

IF (User Info in Session is 'User' and has this privilege) 
    Add Button is shown 
Else 
    No Add Button is shown. 

我有以下問題：

1. 被看作是安全，沒有人可以嗅出或破解會話屬性？
2. 基於這些方案的安全性是否足夠安全？

Answer 1

會話屬性僅存儲在服務器端，所以是的，它們是安全的。

將安全標識符置於會話屬性的安全性方面沒有問題。但這是Web應用程序安全性的一個簡單部分！最難的部分是安全基礎設施的其餘部分，我擔心你還沒有想過。

我建議你調查Spring Security。