Фильтры сервлетов для предотвращения злоупотреблений? (DoS, спам и т. Д.)

Question

Я ищу библиотеку фильтров сервлетов, которая поможет мне защитить наш веб-сервис от несанкционированного использования и DDoS.

У нас есть «авторизованные клиенты» для нашего веб-сервиса, поэтому в идеале фильтр должен помочь обнаружить клиентов, которые не авторизованы или ведут себя ненадлежащим образом, или обнаружить несколько людей, использующих одну и ту же учетную запись. Также нам нужен способ предотвращения DoS'ов наших различных сервисов, поскольку у нас есть политика открытых аккаунтов - ограничение количества одновременных подключений для пользователя и т. Д.

Мы рассмотрели Tomcat LockOutFilter и тому подобное, но они довольно примитивны и предотвращают только один тип атак.

Конечно, есть много специфичных для приложения компонентов решения, но мне было интересно, написал ли кто-нибудь общее решение в качестве отправной точки.

Answer 1

Apache Shiro - интересное решение безопасности (до присоединения к Apache.org оно называлось jSecurity).Я считаю, что их исходный код гораздо проще для понимания и настройки для моих нужд, а также для его интеграции.

Answer 2

DDOS-сервлет iTransformers является хорошим примером фильтра сервлетов, способного применять удаленно запускаемый черный забор https://tools.ietf.org/html/rfc5635, который является единственным реальным / хорошим и масштабируемым способом защитить себя от DDOSатаки.

Answer 3

Если вы используете Spring, то Безопасность Acegi довольно завершена.
Вот серия учебных статей .
Похоже, вы могли бы запустить это без необходимости везде Spring, См. Здесь .