所以我一直在尋找一些關於會話安全性的信息,只能找到與PHP會話相關的信息。會話安全性是否足夠用於java?
現在我的web應用程序根據數據庫對用戶進行身份驗證,如果成功,他們將用戶對象(一個hibernate實體)作爲屬性放入HttpSession中。
我的網絡應用程序,然後驗證該屬性已設置,並將使用該用戶對象爲所有未來的數據庫查詢並確認用戶是授權。
我的網絡應用程序將爲小企業管理資金和支付,安全性是我的一個主要關注點。如果攻擊者能夠冒充用戶,他們可以退款並取消銷售。支付是通過分條處理的,因此卡的詳細信息將是安全的,但用戶將擁有API訪問權限以啓動退款。
將此用戶對象設置爲HttpSession屬性是否足夠安全,還是應該添加更嚴格的安全措施?如果是這樣,你可以請建議其他方法來保護用戶帳戶。
所有會話均通過SSL進行。
謝謝!
可能會轉到http://security.stackexchange.com/? – 2015-04-01 16:08:06