如何解决使用Cookies的Java Web App安全性
| 我正在完成Cattle Drive的分配,其中一个小型Java Web应用程序管理客户端的电影库。分配工作是使用Cookie为应用程序提供一些安全性,以使“黑客”不能仅仅猜测会导致应用程序另一部分的URL。将指示用户登录该站点,并且除非登录,否则不允许其查看其他页面。 该Web应用程序的部分包括:1. index.html
2. VideoServlet
3. listvideos.jsp
4. addvideo.jsp
5. videologin,jsp
入口点是请求URL http:// localhost:8080 / videos,该URL加载index.html文件。该页面只有一个链接,该链接会将用户重定向到VideoServlet。 servlet从那里将HTTP请求和响应转发到listvideos.jsp,如果用户愿意,该链接具有添加视频的链接。
我无法理解如何使用Cookie来实现安全性,同时又将所有内容都保持在MVC2模式中(servlet是控制器,jsp是视图)。
这是我想出的程序流,但是我想我在某处缺少要点:
用户输入URL http:// localhost:8080 / videos,默认情况下拉动index.html文件。
index.html文件基本上将HTTP Get发送到VideoServlet。 servlet以某种方式知道用户尚未登录,因此将请求/响应转发到videologin.jsp。
将显示一个登录名并询问用户密码(这是标准的html格式)。用户输入密码,然后单击提交。这会将HTTP Post发送到servlet。
servlet检查密码,如果正确,则用户登录,然后servlet转发到listvideos.jsp。
我不了解Cookie进入的位置,也不清楚它们如何帮助防止黑客猜测URL并直接访问例如addvideos.jsp。是否使用cookie来验证用户是否已经登录?
解决方法
Cookies是一些纯文本值(通常存储在浏览器缓存中的文本文件中),可用于在客户端存储数据。当用户向特定URL发出请求时,该服务器(域)上存储的所有cookie都将随它一起传递,以便服务器可以读取这些值。
在Java中,您可以在servlet中设置这样的cookie(在这种情况下,当用户登录时,创建一个cookie并在其中存储一个值(例如username = josh)。成功登录。
protected void doGet(HttpServletRequest request,HttpServletResponse response) throws ServletException,IOException {
// Verify login,and get the username. Assume it\'s josh
Cookie cookie = new Cookie(\"username\",\"josh\");
cookie.setMaxAge(60*60*24); // 24 hours for expiry
response.addCookie(cookie);
}
稍后,您可以检查cookie是否存在,如果存在,则表明用户已经登录。如果没有,则可以将重定向发送到登录页面。
您可以在servlet中检查像这样的cookie。
protected void doGet(HttpServletRequest request,IOException {
Cookie[] cookies = request.getCookies();
String username = null;
for (Cookie c : cookies) {
if (\"_username\".equals(c.getName())) {
username = c.getValue();
break;
}
}
if (username == null) {
// Not Logged in. Redirect to Login
}
// User Logged In. Proceed
}
您可以轻松地将其放入Servlet Filter类中,而不用将这些代码放入所有Servlet + JSP中。您可以在这里阅读更多内容:http://javaboutique.internet.com/tutorials/Servlet_Filters/
理想情况下,您还可以提供注销功能,该功能通过将其替换为null来删除分配给用户名cookie的值。
我展示了上面的示例,因为您提到需要使用Cookie进行分配。但是,如果可以的话,请尝试使用会话(大部分时间使用cookie)来存储登录的用户详细信息。对于会话,您可以使用会话超时来确保空闲的用户将在一段时间后自动注销,以此类推。
,
index.html文件基本上将HTTP Get发送到VideoServlet。 servlet以某种方式知道用户尚未登录,因此将请求/响应转发到videologin.jsp。
某种程度上知道是由于在请求中寻找cookie的存在。确保cookie的内容受消息身份验证代码的保护,因此可以确保服务器实际分发了cookie。将客户端使用的特定IP地址编码到cookie中也是一个好主意,因此攻击者无法劫持cookie。 (如果客户端在会话期间更改IP地址,则要求他们再次登录并不可怕。可能令人讨厌,但并非意外。)
servlet检查密码,如果正确,则用户登录,然后servlet转发到listvideos.jsp。
用户登录-将cookie设置到浏览器中以供将来请求。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。