Webへのアクセスを制限するアプリケーション

Question

私は動的WebプロジェクトとしてEclipseで開発されたJSP Webアプリケーションを持っています。

私は自分のアプリケーションを起動するサードパーティのWebアプリケーションを使用しています。そのアプリケーションから来た要求だけが自分のアプリケーションで新しいセッションを作成できることを検証する必要があります。

私は最後のリソースとして、リクエストの起点を知り、その振る舞いを定義するために、Filterクラスを使用することをjavascriptと考えています。

問題は、操作がクライアント側で行われることです。つまり、javascriptなどを使用しなければならないということです。私はJSのdocument.referrerについて読んだことがありますが、コンソールには何も表示されません。

Answer 1

セッションを処理するためにJSを使用してクライアントで行うことは、悪意のあるユーザーによって簡単に変更される可能性があるため、安全ではありません。また、refererやその他のhttpヘッダーパラメータを使用すると、簡単になりすます可能性があるため、安全ではありません。

このサードパーティアプリケーションがアプリケーションを直接呼び出す場合は、ある程度の制御権があると思います。あなたはそのソースコードにアクセスして修正することができますか、あるいは単に構成パラメータを使用していますか？

理想的には、サードパーティのアプリケーションは、アプリケーションに要求するたびに認証トークンを使用します。これらの認証要求とすべてのセッション処理ロジックは、常にサーバー側で処理されます。