Веб-приложение Java 2-го уровня безопасности для чувствительных страниц

Question

Я создаю веб-приложение с функциями покупки и продажи, поэтому мне придется собирать информацию о кредитной карте пользователя. Поэтому я хочу, чтобы пользователь повторно аутентифицировал себя для доступа к чувствительным страницам, таким как изменение пароля, обновление / удаление кредитной карты и т. Д.

Я использую Struts, Springs и Hibernate

Я разработал небольшую схему, но хотел бы получить отзывы и критику.

• Вести список чувствительных страниц в весенних бобах.
• Создать фильтр сервлета, который определяет, является ли страница чувствительной или нет, если страница чувствительна, он проверяет наличие конфиденциального токена (токен будет иметь время при создании) в сеансе
• Если токен отсутствует или срок его действия превышает 5 минут, перенаправьте пользователя на страницу аутентификации снова.
• Страница аутентификации после успешного входа в систему создаст токен и поместит его в сеанс.

Это означает, что пользователь может получить доступ к конфиденциальным страницам в течение 5 минут после однократной аутентификации.

Есть ли другой способ получше? Заранее спасибо.

Answer 1

Повторная аутентификация является очень хорошим подходом при выполнении конфиденциальных операций, но есть также преимущества в полном отказе от определенных задач - возможно, обработка информации о кредитной карте может быть выполнена какой-либо третьей стороной?

Answer 2

Если реализация выполняется в фильтре, эта конфигурация может быть сохранена как параметры конфигурации фильтра в файле web.xml.

Кстати, я думаю, что перенаправление пользователя на страницу входа может снизить удобство использования.Возможно, вы подумали о добавлении поля пароля на страницу, где используются типы кредитных карт?В этом случае вы можете значительно упростить вашу систему.