Zugriff auf Web beschränken Anwendung

Question

Ich habe eine JSP Webapp in Eclipse als ein dynamisches Web-Projekt entwickelt.

Wir verwenden eine Webanwendung eines Drittanbieters, die meine Anwendung aufruft. Ich muss überprüfen, dass nur die Anforderungen, die von dieser Anwendung stammen, in meiner Anwendung eine neue Sitzung erstellen dürfen.

Ich versuche es mit Javascript und denke, als letzte Ressource, eine Filterklasse zu verwenden, um den Ursprung der Anfrage zu kennen und das Verhalten zu definieren.

Das Problem ist, dass der Benutzer erfordert, dass die Operation auf der Clientseite erfolgt, was bedeutet, dass ich JavaScript oder ähnliches verwenden muss, habe ich über document.referrer auf JS gelesen, aber bis jetzt wird nichts auf der Konsole angezeigt.

Answer 1

Alles, was Sie im Client mit JS zum Behandeln von Sitzungen tun, wäre nicht sicher, da es leicht von einem böswilligen Benutzer geändert werden kann. Außerdem wäre die Verwendung des Referrers oder anderer HTTP-Header-Parameter unsicher, da sie auch leicht gefälscht werden können.

Wenn diese Anwendung von Drittanbietern Ihre Anwendung direkt aufruft, stelle ich mir vor, dass Sie ein gewisses Maß an Kontrolle darüber haben. Können Sie auf den Quellcode zugreifen und ihn ändern oder verwenden Sie nur Konfigurationsparameter?

Idealerweise verwendet die Anwendung eines Drittanbieters für jede Anforderung, die sie an Ihre Anwendung stellt, ein Authentifizierungstoken. Und diese Authentifizierungsanforderungen sowie die gesamte Verarbeitungslogik für die Sitzung würden immer serverseitig behandelt.