安全机制校验信息说明
进行产品功能调用时需要先生成安全校验信息,产品对应的调用入口页面会对此安全校验信息进行检查,通过校验才允许访问。
安全校验内容包括:当前登陆用户,请求时间,参与校验的参数。
1.对用户的校验:生成安全校验信息时从session获取当前用户id,安全校验信息中的userId为当前用户。如果当前没有用户,则校验信息中的userId为空对象。对应进行校验时也是从session中获取当前用户id生成校验信息,两者一致方可通过校验。
2.对请求时间的校验:生成安全校验信息时增加时间戳校验,安全校验信息中增加请求时间。对应校验时判断当前时间和安全校验信息中的请求时间是否超过了规定的延时量,如果超时则不能通过校验。
3.对参数的校验:请求参数可参与安全校验,生成安全校验信息时放入参与校验的参数;对应进行校验时将安全校验信息中的参数值和请求中的参数值保持一致才能通过校验。