Servlet参数加密

Question

在这里仍然在学习JSP Web应用程序。

我一直在我的web应用程序中做了一段时间，但我想知道一个更安全的解决方案。

想象一下显示某些图书信息的表格。当用户点击表格中的其中一行时，我基本上会将BookID和url一起发送。

示例URL。 http://locathost:8080/myapp/editbook.htm?bookID=3

在我的servlet中。

String strBookID = request.getParameter("bookID"); 

我觉得这有点弱，有没有办法可以提供比这更安全的方式。 如果我将BookID与URL一起发送，那么黑客更容易编辑该URL。

你能告诉我一些关于如何在客户端和服务器端做到这一点的链接？

谢谢

Answer 1

我认为这是一个有点弱，是有办法，我可以提供除此之外的更安全的方式。

您必须根据您的应用程序定义“安全”。对于销售书籍的公共网站或私人图书馆托管机密卷或任何其他应用程序之间的要求完全不同。

至少，你应该做到以下几点 -

1. 验证BOOKID实际上是一个整数，在预期范围之内。
2. 确保您在参数化SQL查询中绑定 bookid - 这是为了防止SQL注入。
3. 显示一个“图书未找到”页面，如果这本书不能找到

对于一个公共网站，上面是不够的。你实际上希望人们发现你的书，所以如果有人修改了bookID，你就不应该在意。

对于一个安全的库，你必须做更多。

1. 确保该URL是在web.xml中保护，因此只有经过身份验证和授权的用户才能查看网址
2. 验证当前用户有权访问的BOOKID。您可以在会话对象中存储可供用户使用的书籍列表。
3. 如果用户无权访问，则返回403错误页面。

还有其他几种策略来保护URL;有些使用令牌来确保URL没有被操纵。其他人不会将bookID发送给客户端，而是依赖于编号{1到n}，其中只有服务器知道1对应于Book A等等。但是，这个想法是确保用户无法访问他没有权限的图书。

如果你使用Spring，我会强烈推荐Spring Security。否则看看JAAS。

Answer 2

你必须假设任何用户都可以向你发送任何东西。解决方案并不是避免用户通过URL发送数据，而是控制他们实际上可以执行以下操作。

您需要身份验证和授权。

How to use authentication with your web.xml

Defining Security Requirements for Web Applications