Webアプリケーションのダイレクトアクセス対応

お世話になっております。
表題のとおり、Webアプリケーションのダイレクトアクセス対応について質問させていただきます。

ユーザがログイン後、ダイレクトアクセスによる正規ではない画面遷移をされた場合の対処でどのような制御を行えばよいでしょうか？
現状考えている案としては、
①遷移元画面のバッキンビーンの関数にアクセスした際、遷移先の画面IDをフラッシュにセットし、遷移先画面をリターン
②遷移先画面のf:event type="preRenderView" listenerで遷移先バッキンビーンの関数に遷移先画面IDを引数にアクセス
③上記のバッキンビーンで、引数の画面IDと、フラッシュの画面IDを比較し、異なっていた場合エラー画面に遷移させる。

このような動きで問題ないでしょうか？

大変わかりにくい文章で申し訳ないのですがよろしくお願いいたします。

環境
Java EE7,
JSF2.2
GlassFish

行動規範の内容に同意します

回答1件

ベストアンサー

私の開発では、ログインチェック以外何もしてないですが、
遷移の順番をきっちり守らせたいのであれば、CSRF対策が王道かと思います。

①正常遷移時、セッション変数に、任意文字列(A)を保持する。
②セッション変数(A)をinputのhidden(B)で、ブラウザに返す。
③次の画面遷移時、(A)と(B)を突合させる。
→一致すれば、正常遷移と判断。