代码之家  ›  专栏  ›  技术社区  ›  Teja Kantamneni

最好的Java框架来管理/创建动态安全策略规则?

security web-applications java
  •  2
  • Teja Kantamneni  · 技术社区  · 15 年前

    通常在任何web应用程序中,主要的安全问题是保护资源不受试图访问未授权资源的恶意用户的攻击。它们可以更改请求参数中的值,并尝试访问不属于该特定用户的内容。

    例如: http://blah.com/id=foo 用户可以将此更改为 http://blah.com/id=bar 并尝试访问 bar 访问它的资源。

    对于restful服务,这可能会导致更大的安全问题,因为restful url是相当自解释的。

    如:

    http://hotels.com/hotels/1 用户可以很容易地猜测并将id更改为2以查看其详细信息。
    一种设计是在每次请求时手动检查以查看资源的访问权限,并在需要时拒绝它。
    但这是一个麻烦和不可维护的。

    所以问题是“是否有任何工具/框架可以帮助以简单的方式实现这一点?”我知道spring security支持静态规则而不是动态规则。

    2 回复  |  直到 15 年前
        1
  •  1
  •   skaffman    15 年前

    在过去的几年里,这方面的去工厂化标准已经成为 Spring Security . 它位于任何旧的Java WebApp(不仅仅是Spring WebApp)的FROTN中,并提供您选择的拦截验证和授权层。

    它非常强大,虽然也相当复杂(过于复杂,imo)。

        2
  •  0
  •   Zack Marrapese    15 年前

    我强烈建议你调查一下 Seam Security . 它甚至可以绑定到规则系统中。

    编辑: 我相信你需要缝合核心包才能工作。但是,我从来没有尝试过在没有seam的情况下使用它,所以我不能肯定它的依赖性。

    推荐文章
    user29759326  ·  如何返回递归函数中的最后一个值?
    5 月前
    malife89  ·  将java中的字符串读取为正确的日期格式
    5 月前
    Tim  ·  在java中,有没有更快的方法将字节数组写入文件?
    5 月前
    pebble unit  ·  如何检查以前缀开头、以后缀结尾的属性(不是属性值)
    5 月前
    Nuñito Calzada  ·  Spring Boot with JWT:访问此资源需要完全身份验证
    5 月前
    rudraraj  ·  java中未声明最终变量
    5 月前
    Bala Ji  ·  以下BFS的实施效率如何?
    5 月前
    MineRickStar  ·  如何在Java中从Windows获取当前选定的应用程序
    5 月前
    user2649681  ·  实时生成音频以写入“SourceDataLine”`
    5 月前
    davidalayachew  ·  为什么我的文件有竞争条件,即使我使用了StandardOpenOption。同步?
    5 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号