2.2.2 认证
规则3.2.2.10:对于重要的交易事务(如转账、余额转移、充值等)要进行重新认证,以防范会话劫持和跨站请求伪造给用户带来损失。
说明:重新认证,比如让用户重新输入口令,或者让用户输入一次性动态密码(动态密码卡或者短信随机密码)。
建议3.2.2.1:管理页面建议实施强身份认证。
//用户登陆,支持用户在特定IP下才可登陆。即登陆用户IP黑白名单功能。
2.3 会话管理
规则3.3.6:必须设置会话超时机制,在超时过后必须要清除该会话信息。
说明:建议默认会话超时时间为10分钟。
2.4 权限管理
规则3.4.1:对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作。
说明:防止用户通过直接输入URL,越权请求并执行一些页面或servlet;建议通过过滤器实现。
实施指导:
一、对于所有最终用户都能访问的URL,只需判断最终用户是否已经成功登陆。