我已经为Java Web应用程序实现了一个模块,用户需要请求他们访问安全数据。它的工作原理如下:当某个链接上没有访问权限的用户时,会发出请求并在服务器端收到请求。它现在生成一封电子邮件并发送给“批准者”。该电子邮件包含批准或拒绝该用户访问权限的链接。
已批准的链接:http://hostname/App_name?action=actionClass&approved=true
拒绝链接:http://hostname/App_name?action=actionClass&approved=false
现在的问题是,有没有更好的方法来做到这一点,同时考虑到安全性?
我确实试图寻找与此相关的其他帖子,但结果似乎并没有涉及到这方面。如果有任何我错过的,如果你能指出它们我会很感激,所以我可以修改这个问题。
提前致谢
答案 0 :(得分:0)
我会假设您在点击给定链接时对用户进行身份验证,因为否则它只是糟糕的mojo。
您可以为该用户分配一些权限,并检查是否允许批准。
答案 1 :(得分:0)
这取决于您发送电子邮件的方式。假设您在客户端进行操作,那么用户可以拦截他们自己的批准链接,这显然是您不想要的。
更好的方法(假设您尚未执行此操作)将用户信息(当然通过HTTPS)发送到您的服务器,然后让服务器生成并发送电子邮件。这样,没有人可以访问批准链接,除了那些由服务器和控制服务器控制的人(你希望如此)。