有关系统安全问题,请教一下

chulaihunde 发布于 2014/09/09 00:15
阅读 199
收藏 2

MySQL连接为什么挂死了?别踩坑!>>>

@Koala_考拉 你好,想跟你请教个问题:

默认好像是jsp在ie地址栏直接输入地址,都能访问吧,怎么设置才能使某个角色的登陆账户除了可以访问指定页面,其他都不允许访问?

另外,比如某个employee,如果知道他的id,可能有安全隐患。比如说在某个用户登陆以后,只有修改个人信息的权限,通过在地址栏直接输入别人的id号,就可以修改别人的信息了吧。。。

http://localhost:8080/employee/get/198.koala 。。

比如这个用户只可以修改自己的个人信息,但是如果他在地址栏直接修改198的这个数字,也许就可以修改其他人的了,怎么限制某个用户只能访问自己的资源(难不成还需要在controller里面进行安全判断?)

同样道理,如果他没有添加个人信息这个按钮的权限,但是他有查看自己的个人信息的按钮的权限,由于使用的是ajax,是否存在通过修改ajax的javascript的函数名来调用本不允许他访问的函数(如果他猜的到的话,比如猜测添加是add) 举个例子,chrome审查元素的时候,把click="modify" 修改为 click =“add”,就可以访问了。。。所以请教一下,安全机制是否对koala的安全进行了设置或者过来,如何配置比较合理?

也许讲的不够清晰。。。见谅



加载中
0
DavidWTF
DavidWTF
你的系统不需要用户登录吗?
0
realanan
realanan
1. 在每个页面中都需要判断该账号是否有此页面的访问权限
2. 在数据库查询的时候多带一个当前账号的id条件就可以避免查看到别人的数据
0
实迷途其未远觉今是而昨非
实迷途其未远觉今是而昨非
考拉安全部分有shiro的,支持你说的
0
_泡泡_
_泡泡_
你可以在配置文件里面设置,一开始只能访问登录页面,然后用cookie保存这个登录对象的值,这样应该就可以了吧
0
弦歌
弦歌
koala不太熟悉。但其他的系统一般是通过给用户设置权限标志位(比如,在数据库里,每个用户的权限是确定的),在调用方法、显示页面等操作的时候,都先判断一下用户的权限,再调用,或显示。一般是把权限模块独立出来,在做操作的时候,要调用一下权限判断模块。
返回顶部
顶部