我有一个应用程序,允许用户登录,然后将他们的登录信息传递给他们选择的应用程序。 所有应用程序都是用Java编写的,使用Struts 2并在Websphere上运行。传入登录信息的最安全方法是什么? 我可以使用 HTTPS 在 URL 中传递它,但这仍然会在浏览器历史记录中保留可用的信息。
编辑:
登录应用实际上调用一个 Web 服务,该服务注册用户,该用户收集其个人信息,验证其身份并将信息传递回登录应用。 Web 服务存储所有注册信息。 我想将所有注册信息传递给应用程序,以便用户不必重新输入它,并确保 Web 服务存储的信息与应用程序中存储的信息相同。
应将两个应用配置为使用单一登录。
这是 Websphere 的教程。
http://www.redbooks.ibm.com/redpapers/pdfs/redp4192.pdf
如果您通过 https 传递登录信息,这是安全的方式。但是,不要在 url 中传递它。使用 http post 方法将此信息提交到应用程序。但是,由于您使用 Web 服务来注册/验证用户,因此您需要使用 http 客户端等从您的应用程序调用此 Web 服务。如果从客户端调用服务,则应用程序永远不会知道用户是否已注册/身份验证。
建议使用一些安全框架,即Spring Security,它允许使用不同的方法来进行身份验证/注册/授权。它需要通过弹簧插件将支柱2与弹簧集成。
其余部分请参阅如何集成 Spring 安全性和 Struts2。或者阅读Anjana Mankale的Spring Security 3.x Cookbook一书。