如何确保 http 请求来自特定用户？

Question

我正在为网站编写一项附加服务，该服务利用现有的登录行为，同时需要用户提供一些额外的注册详细信息。新服务在不同的子域中运行。

用户将能够在我的数据网络应用程序上创建资源，这些资源必须针对该用户的数据集合进行保存。

我希望这个用户标识符将在 http 请求的正文中传递给 webapp。但是，我担心恶意攻击可能会重写正文中的用户名，使请求看起来像是来自另一个用户。

我能做些什么来使这更安全？ （这算不算 CSRF 攻击？）

新服务是用 Java 编写的，带有 Spring 3。

Answer 1

您永远无法确保 http 请求来自特定用户，您只能尝试验证用户和请求。通常这是通过在登录或身份验证过程中创建票证来完成的，然后在后续请求中要求该票证。然后，您可以将票证与用户匹配并接受它为有效。票证在一段时间不活动后过期，需要用户重新登录。

Answer 2

如果可能，您应该通过主网站使用的相同安全堆栈传递请求。

如果不可能，我会使用 Spring Security 来处理身份验证。我不确定 Spring Security 已经存在哪些插件来验证这样的服务请求，但你总是可以要求会话使用 cookie，然后这只是客户端处理身份验证步骤的问题。

因此，您可以使用“普通”表单登录，也可以将令牌请求设置放在一起，但这涉及更多。