所以我一直在寻找一些关于会话安全性的信息,只能找到与PHP会话相关的信息。会话安全性是否足够用于java?
现在我的web应用程序根据数据库对用户进行身份验证,如果成功,他们将用户对象(一个hibernate实体)作为属性放入HttpSession中。
我的网络应用程序,然后验证该属性已设置,并将使用该用户对象为所有未来的数据库查询并确认用户是授权。
我的网络应用程序将为小企业管理资金和支付,安全性是我的一个主要关注点。如果攻击者能够冒充用户,他们可以退款并取消销售。支付是通过分条处理的,因此卡的详细信息将是安全的,但用户将拥有API访问权限以启动退款。
将此用户对象设置为HttpSession属性是否足够安全,还是应该添加更严格的安全措施?如果是这样,你可以请建议其他方法来保护用户帐户。
所有会话均通过SSL进行。
谢谢!
可能会转到http://security.stackexchange.com/? – 2015-04-01 16:08:06