关于web服务安全的一些思考

一、问题：

　　在开发web项目是时，安全问题有以下几种问题：

　　（1）用户可以自己伪造一个URL请求来进行访问吗？

　　（2）用户不在服务器登录，可以自己封装出用户名、密码进行访问吗？

　　（3）url的参数可以多次尝试进行暴力破解吗？

 

二、分析思路：

　　首先，什么是安全，用户自己拼接的URL请求就一定有错吗？

　　我们的JS可以写一个请求到后台，用户自己为什么不可以？

　　那么，安全的情形是什么？

　　（1）用户在服务器SESSION里有登录的记录，并且没有超时，是可以正常请求的

　　（2）请求的用户名密码验证是正确的，同时具有该请求权限

　　（3）拼接的参数格式也是正确的，后台接受的数据匹配

 

三、解决：

　　（1）使用JWT、SHIRO进行安全验证，去掉用户名密码不匹配的

　　（2）在URL进行访问的时候，指定访问的上下文，必须在某请求发出后，才能发出当前请求【referrer 属性可返回载入当前文档的文档的 URL】

　　（3）对URL请求进行加密，用户不能随便看到后台请求的URL信息【感觉加密没啥用，以加密文本也可以请求，只是不能判断意义而已】