Hallo,
wenn der Benutzer sich einloggt, setze ich bestimmte Attribute:
Solange der Benutzer sich auf der Webseite befindet und durch dir Pages navigiert, wird immer geprüft ob SessionAttribute "userType" gesetzt ist, je nach Type werden verschiedene Funktionen ein bzw. ausgeblendet.
Frage jetzt. Wie sicher ist so ein Vorgehen und ob es überhaupt in Ordnung ist was ich da mache. Ist es möglich Request bzw. SessionAttribute so zu manipulieren, dass ein Unberechtigter einfach Attribute "userType"= ADMIN setzt und sich damit zugang zu Adminfunktionen verschafft?
Danke schon mal
wenn der Benutzer sich einloggt, setze ich bestimmte Attribute:
Java:
...
//login DATEN OK und es handelt sich um einen normalen Benutzer....
String name = request.getParameter("name");
...
request.getSession().setAttribute("name", name);
request.getSession().setAttribute("userType", UserType.MEMBER); //es gibt MEMBER,GUEST,ADMIN
...
Solange der Benutzer sich auf der Webseite befindet und durch dir Pages navigiert, wird immer geprüft ob SessionAttribute "userType" gesetzt ist, je nach Type werden verschiedene Funktionen ein bzw. ausgeblendet.
Frage jetzt. Wie sicher ist so ein Vorgehen und ob es überhaupt in Ordnung ist was ich da mache. Ist es möglich Request bzw. SessionAttribute so zu manipulieren, dass ein Unberechtigter einfach Attribute "userType"= ADMIN setzt und sich damit zugang zu Adminfunktionen verschafft?
Danke schon mal