Я использую схему безопасности, основанную на атрибутах сеанса.Я знаю, что у Spring есть Acegi Security, но у меня не так много времени, чтобы изучить этот модуль.Я просто хочу поделиться этим для получения комментариев.
Псевдокод похож на это.
При успешном входе в систему я устанавливаю атрибут в сеансе пользователя.Объект, который я помещаю в качестве атрибута сеанса, представляет собой простой javabean с картой привилегий.
public class UserInfo {public String getRole () {};public Map checkPrivilege () {};// методы получения и установки}
Атрибуты сеанса также содержат роль пользователя.(Он может быть пользователем / гостем / администратором / супер-администратором).Теперь существуют определенные привилегии, которые авторизованы для пользователя.
Для моего JSP я просто проверяю сеанс пользователя на предмет его роли и привилегий.
Мой грубый коднапример, используя JSTL
IF (User Info in Session is 'User' and has this privilege)
Add Button is shown
Else
No Add Button is shown.
У меня есть следующие вопросы:
- Считается ли атрибуты сеанса безопасными, что никто другой не может перехватить или взломать?
- Основаны ли они на безопасностипо этим схемам считается достаточно безопасным?