我正在开发一个具有分离和孤立Universe的游戏(就像那些知道这个游戏的玩家)。一个玩家(账户)与一个宇宙相关联,但一个玩家(物理)可以为每个宇宙创建一个账户。Java领域和安全请求
所以玩家可以登录多个宇宙,并在玩游戏时切换宇宙。
为此,我创建了Authentication
类,其中存储了日志播放器和Universe名称(这是我的PostgreSQL数据库中的模式名称)的id
。
因此,一个Authentication
对象表示一个已登录的播放器。为了管理应用程序角色,我使用了一个只收集id
和Universe名称(从我的Authentication
对象)来处理SQL请求并获取组名以将其转换为角色的自定义领域。
所有这些机制都很好。
我想知道它是否真的保证做到这一点?攻击者是否可以向我的领域发送请求,并在请求中注入id
和Universe名称以直接处理身份验证?因为我的领域不需要密码和用户名(以前在我的应用程序中创建了Authentication
对象),所以此类恶意请求可能会起作用。
所以我的问题是只知道是否可以在我的Java应用程序(或我的Glassfish服务器)之外向我的领域提出请求?
使用Firefox和Firebug,我们看不到发送到我的领域的请求。这是否意味着没有人能够看到如何将信息发送到我的领域来处理认证? Ty – 2013-03-17 12:18:29