私は、既存のログイン動作を利用するウェブサイト用の追加サービスを作成していますが、ユーザーから追加のサインアップの詳細が必要です。新しいサービスは別のサブドメインで実行されます。特定のユーザーからのhttp要求を確実にするにはどうすればよいですか?
ユーザーは自分のデータWebアプリケーションにリソースを作成できます。このリソースは、そのユーザーのデータコレクションに対して保存する必要があります。
このユーザーIDは、httpリクエストの本体にあるwebappに渡されることが期待されます。しかし、私は、悪意のある攻撃が、他のユーザーからのように要求を表示するために、本文のユーザー名を書き換える可能性があると懸念しています。
これをより安全にするにはどうすればよいですか? (そして、CSRF攻撃として、このカウントしていますか?)新しいサービスはあなたが特定のユーザーから来ているhttpリクエストを確保することはできません3.
あなたは春3と言っているときにも春のセキュリティを意味するのですか? – Eugene
現在のセキュリティはすべてメインアプリケーションによって処理されますが、現在のユーザーのGUIDと名前を取得することを除いて、アクセス権はありません。 – laura