2014-02-28 125 views
0

Web服務(使用POST)允許請求者更新用戶的詳細信息。 Web服務接受要更新的用戶的ID。確保更新用戶詳細信息的Web服務安全

我認爲把請求的id作爲參數是有風險的。有人可以創建帖子請求,然後插入任何用戶的ID並更新該用戶的詳細信息。

爲確保達到可接受的水平,用戶詳細信息無法更新,有哪些選項。這裏是 我認爲:

目前沒有安全框架。

  1. 加密傳輸層用戶SSL請求
  2. 加密只是ID本身
+0

您已將其標記爲:ws-security。 – Stefan

+0

你使用任何安全框架嗎? – holmis83

+0

@Stefan我不明白你的意見,你是說我應該使用SOAP而不是REST? –

回答

0

爲了安全傳輸使用https是一個良好的開端。

既然你已經用「spring」標記了你的問題,並且沒有安全框架,我建議你看看Spring Security,它很好地集成了Spring。