Я разрабатываю игру с разделенными и изолированными юниверсами (например, ogame для тех, кто знает эту игру). Один игрок (учетная запись) связан с одним юниверсом, но один игрок (физический) может создать одну учетную запись для каждой юниверсы.Java realm и secure request
Таким образом, игрок может войти в несколько юниверсов и переключить вселенной, когда он играет.
Для этого я создал класс Authentication
, в котором хранился id
зарегистрированного игрока и имя юниверса (которое является именем схемы в моей базе данных PostgreSQL).
Таким образом, объект Authentication
представляет собой зарегистрированный игрок. Для управления ролями приложений я использую настраиваемую область, которая собирает только id
и имя юниверса (из моего объекта Authentication
) для обработки запроса SQL и получения имени группы для преобразования его в роли.
Все эти меканизмы работают нормально.
Мне интересно, действительно ли это сделано для этого? Может ли злоумышленник отправить запрос в мою сферу и ввести в его запрос id
и имя юниверса для непосредственного процесса проверки подлинности? Поскольку мне не нужно ни пароля, ни имени пользователя (ранее в моем приложении для создания объекта Authentication
), такой вредоносный запрос, вероятно, будет работать.
Итак, мой вопрос только в том, чтобы узнать, может ли запрос в мое царство быть сделан вне моего приложения Java (или моего сервера Glassfish)?
С Firefox и Firebug мы не видим запрос, отправленный в мое царство. Означает ли это, что никто не может видеть, как информационные материалы отправляются в мою сферу для обработки аутентификации? Ty –