0

我在同一台服务器上有 2 个 Tomcat Web 应用程序;它们都受登录/会话保护。我需要将 URL 请求从一个应用程序发送到另一个应用程序。在我的 URL 请求中,我添加了一个字段以绕过接收 Web 应用程序的会话安全性。

我仍然想确保只有特定的请求才能绕过安全性。所以,我首先将我的请求发送到同一个应用程序中的一个安全 JSP,然后我在我的请求中添加一个带有一些安全密钥的 cookie,将此请求转发给第二个应用程序,然后在接收 servlet 中读取此 cookie 以允许绕过。

这个设计够安全吗?还能做什么?

4

1 回答 1

0
  • 好吧,使用cookie应该已经足够好了,但是你可以通过加密它们来加强保存。

preferable way to encrypt/decrypt 使用HMAC

  • 同样在 cookie 中,you can store the ipaddress of the originating request and always validate against the valid list in Application 2
于 2013-02-10T14:07:01.803 回答