特定のユーザーからのhttp要求を確実にするにはどうすればよいですか？

Question

私は、既存のログイン動作を利用するウェブサイト用の追加サービスを作成していますが、ユーザーから追加のサインアップの詳細が必要です。新しいサービスは別のサブドメインで実行されます。

ユーザーは自分のデータWebアプリケーションにリソースを作成できます。このリソースは、そのユーザーのデータコレクションに対して保存する必要があります。

このユーザーIDは、httpリクエストの本体にあるwebappに渡されることが期待されます。しかし、私は、悪意のある攻撃が、他のユーザーからのように要求を表示するために、本文のユーザー名を書き換える可能性があると懸念しています。

これをより安全にするにはどうすればよいですか？ （そして、CSRF攻撃として、このカウントしていますか？）新しいサービスはあなたが特定のユーザーから来ているhttpリクエストを確保することはできません3.

Answer 1

春で、Javaで書かれている

、あなただけの検証を試みることができますユーザと要求を含む。通常これは、ログインまたは認証プロセス中にチケットを作成し、その後のリクエストでそのチケットを要求することによって行われます。チケットをユーザーと照合し、有効なものとして受け入れることができます。チケットは一定期間使用しないと期限切れとなり、ユーザーは再度ログインする必要があります。

Answer 2

可能であれば、メインのウェブサイトが使用するのと同じセキュリティスタックでリクエストを渡す必要があります。

できない場合は、Spring Securityを使用して認証を処理します。そのようなサービスリクエストを認証するためのSpring Security用のプラグインがすでに存在するかどうかはわかりませんが、セッションでCookieを使用する必要がある場合は、認証ステップを処理するのはクライアントの問題です。

したがって、通常の形式のログオンを使用することも、トークン要求のセットアップをまとめることもできますが、それははるかに複雑です。