我有一个链接 http://uuuu.com/index.jsp?username=user&password=pass。 如果用户点击该链接,则应该从该网址读取用户名和密码,自动登录该网站。 因此用户无需填写用户名字段和密码字段即可查看该站点。 网址格式是否正确?如果不正确的格式是什么?
答案 0 :(得分:5)
答案 1 :(得分:1)
如果不知道服务器上的身份验证实现的内部,没有人可以评论URL格式是否正确。有一件事是肯定的 - 从安全性视图来看这是一个坏主意,因为附加到URL的参数不安全。
答案 2 :(得分:1)
在 URL 中使用实际用户名和密码是一种不可行的解决方案,因为它会给用户带来安全风险,因为 URL 会存储在浏览器历史记录中或被泄露。您应该做的是为每个用户生成一个时间盒标记并将其添加到 URL 中。
示例:
www.mywebsite.com/auth?token=bigtokengoeshere
使用服务器上的令牌值 bigtokengoeshere
,您可以对用户进行身份验证。
现在要生成时间盒身份验证令牌,请使用 JWT。您会在大多数编程语言中找到它的实现。 JWT 的强大之处在于您可以为令牌设置 expiry_time
,这意味着您的身份验证 URL 仅在接下来的 X
分钟内有效。
答案 3 :(得分:0)
如果您使用的是j_security,请尝试使用
http://uuuu.com/index.jsp/j_security_check?j_username=username&j_password=password
答案 4 :(得分:0)
如果您有用户名和密码,那么我建议使用html表单标签。 See here.
但是请注意,如果您已应用防伪令牌来防止CSRF攻击,则它也可能无法工作。