我正在开发一个具有分离和孤立宇宙的游戏(对于那些了解这个游戏的人来说,就像 ogame)。一名玩家(帐户)与一个 Universe 相关联,但一名玩家(物理)可以为每个 Universe 创建一个帐户。
所以玩家可以在玩的时候登录多个宇宙并切换宇宙。
为此,我创建了Authentication
存储id
记录的玩家和宇宙名称(这是我的 PostgreSQL 数据库中的模式名称)的类。
所以,一个Authentication
对象代表一个登录的玩家。为了管理应用程序角色,我使用了一个自定义领域,它只收集id
和宇宙名称(来自我的Authentication
对象)来处理 SQL 请求并获取组名以将其转换为角色。
所有这些机制都可以正常工作。
我想知道这样做是否真的安全?攻击者可以向我的领域发送请求并注入他的请求id
和宇宙名称以直接处理身份验证吗?因为我的领域既不需要密码也不需要用户名(之前在我的应用程序中处理以创建Authentication
对象),这样的恶意请求可能会起作用。
所以我的问题只是想知道是否可以在我的 Java 应用程序(或我的 Glassfish 服务器)之外发出对我的领域的请求?