我试图阻止用户读取与其帐户关联的自定义UserDetails对象的参数。
我正在使用Spring MVC。我实现了一个自定义UserDetails对象(称为User)。我可以通过引用身份验证对象来访问jsp页面中的参数。例如
<sec:authentication property="principal.email" /><br>
一切正常。问题是我想在那里存储一些敏感信息。不仅仅是密码,还有其他我不希望用户能够确定的东西(例如,我与其用户相关联的数据库参数)。
例如,我实际上可以显示密码:
<sec:authentication property="principal.password" /><br>
它是哈希和咸,我知道安全是另一个主题,但关键是 - 我不希望他们能够看到的一些领域。我知道我不必在jsp页面中显示它,但如果它可以显示&#34;,我假设这意味着身份验证令牌缓存在用户身上&# 39; s客户端,因此一个聪明的用户可以访问它并读取参数然后尝试在我们的网站上使用格式错误的URL而不是。
那么,是否可以隐藏一些参数,而不是在认证对象中返回它们,或者我应该将这些东西放在一个完全独立的对象中?