如何确保http请求来自特定用户?

lau*_*ura 3 java security rest web-services

我正在为网站编写附加服务,该服务利用现有的登录行为,同时需要用户提供一些额外的注册详细信息.新服务在不同的子域中运行.

用户将能够在我的数据Web应用程序上创建资源,必须根据该用户的数据集保存资源.

我希望这个用户标识符将传递给http请求正文中的webapp.但是,我担心恶意攻击可能会重写正文中的用户名,使请求看起来像是来自其他用户.

我该怎么做才能让这更安全?(这是否算作CSRF攻击?)

新服务是用Java编写的,Spring 3.

Mat*_*t H 5

您永远无法确保来自特定用户的http请求,您只能尝试验证用户和请求.通常,这是通过在登录或身份验证过程中创建故障单,然后在后续请求中要求该故障单来完成的.然后,您可以将票证与用户匹配,并将其视为有效.票证在一段时间不活动后到期,要求用户再次登录.