0

我已经为 Java Web 应用程序实现了一个模块,用户需要请求他们访问受保护的数据。它的工作原理是这样的:当还没有访问权限的用户点击某个链接时,会发出请求并在服务器端接收。它现在会生成一封电子邮件并发送给“批准者”。该电子邮件包含有关批准或拒绝该用户访问的链接。

批准链接http://hostname/App_name?action=actionClass&approved=true
拒绝链接http://hostname/App_name?action=actionClass&approved=false

现在的问题是,有没有更好的方法来做到这一点,同时考虑到安全性?

我确实尝试寻找与此相关的其他帖子,但结果似乎并未触及这方面。如果我遗漏了任何内容,如果您也可以指出它们,我将不胜感激,以便我修改问题。

提前致谢

4

2 回答 2

0

这取决于您发送电子邮件的方式。假设您是在客户端执行此操作,那么用户可以截获他们自己的批准链接,这显然是您不想要的。

更好的方法(假设您还没有这样做)是将用户信息(当然是通过 HTTPS)发送到您的服务器,然后让服务器生成并发送电子邮件。这样,除了服务器通过电子邮件发送的链接和服务器控制者(希望如此)之外,没有人可以访问批准链接。

于 2013-07-24T08:54:17.883 回答
0

我假设您在用户单击给定链接时对用户进行身份验证,否则它只是糟糕的魔力。

您可以为该用户分配一些权限,并检查您是否要允许批准。

于 2013-07-24T08:51:58.220 回答