禁止通过地址栏直接访问后台,该怎么解决
日期:2014-05-20 浏览次数:20675 次
禁止通过地址栏直接访问后台
当用户登录系统后,如何禁止通过地址栏直接访问后台.如XXX.do或XXX.action
------解决方案--------------------
晕
很多人都没完全搞懂楼主的问题,悲哀。
楼主的意思其实是 他将连接地址屏蔽了,但用户还是可以通过在地址栏输入连接来进行访问,这和把试图页面放在web-inf下没啥关系,关键是action他可以直接输入访问
解决方案:
1. 页面上,后台屏蔽地址栏显示,这个很好办,一般的系统都会这样做。
2. 说到底这个是权限设计的问题,你拦截资源的url就行了。 要么自己写个小权限控制,或者已经有的spring security安全框架来做。
关键是你的权限。
一般权限设计,在表现层上 都是将不属于自己的权限的连接屏蔽掉不显示,在逻辑层面上,设计过滤器或者拦截器来对资源URL进行拦截,这些很多成熟的安全框架都已经有了。
当用户登录系统后,如何禁止通过地址栏直接访问后台.如XXX.do或XXX.action
------解决方案--------------------
晕
很多人都没完全搞懂楼主的问题,悲哀。
楼主的意思其实是 他将连接地址屏蔽了,但用户还是可以通过在地址栏输入连接来进行访问,这和把试图页面放在web-inf下没啥关系,关键是action他可以直接输入访问
解决方案:
1. 页面上,后台屏蔽地址栏显示,这个很好办,一般的系统都会这样做。
2. 说到底这个是权限设计的问题,你拦截资源的url就行了。 要么自己写个小权限控制,或者已经有的spring security安全框架来做。
关键是你的权限。
一般权限设计,在表现层上 都是将不属于自己的权限的连接屏蔽掉不显示,在逻辑层面上,设计过滤器或者拦截器来对资源URL进行拦截,这些很多成熟的安全框架都已经有了。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
