Защищенная разработка веб-приложений на Java - PullRequest
Новая
       18

Защищенная разработка веб-приложений на Java

1 голос
/ 18 марта 2011

Я попросил создать веб-приложение с использованием Java (с использованием сред с открытым исходным кодом), которое должно быть приложением с высокой степенью защиты.

У меня сложилось впечатление, что использование https решит все проблемы, связанные с взаимодействием между браузероми сервер.это правильно?

, если я хочу сохранить данные для входа в объект сеанса.действительно ли это безопасно, если я делаю это, предполагая, что соединение https.

, пожалуйста, дайте мне несколько мыслей о том, как разрабатывать защищенные (to sustain session ID spoofing etc..) приложения с использованием Java.все это время я просто делал обычные приложения для входа в систему с именем пользователя и паролем, где система сохраняет информацию о пользователе (например, имя пользователя и роль) в объекте сеанса.

Ответы [ 3 ]

4 голосов
/ 18 марта 2011

Пожалуйста, прочитайте OWASP Руководство перед началом разработки защищенного веб-приложения.

3 голосов
/ 18 марта 2011

Вы можете использовать Spring Security для защиты вашего приложения, что упрощает обработку процедур входа и выхода из системы и контроля доступа к вашему приложению с помощью аннотаций, карт запросов и т. Д. На основе ролей, назначенных пользователю. Он обрабатывает хранение информации для входа. И если вы обнаружите, что что-то должно быть сделано по-другому, вы можете реализовать свой собственный механизм для удовлетворения ваших потребностей - Spring Security легко настраивается с помощью интерфейсов. Возможности огромны, и, насколько мне известно, Spring Security в настоящее время в значительной степени стандартен для защиты веб-приложений на основе Java.

Лично я использую Spring Security в приложении grails, и я очень доволен тем, как оно работает и его возможностями.

1 голос
/ 18 марта 2011

У меня сложилось впечатление, что использование https решит все вопросы, связанные со связью между браузером и сервером.это правильно?

Да , потому что он не будет отправлять запрос в простой форме, он будет шифровать и отправлять.

, если я хочусохранить данные для входа в объект сеанса.действительно ли это безопасно, если я делаю это, предполагая, что соединение https.

Это не имеет никакого отношения к https, оно будет сохранено на сервере.

и для включения HTTPSв вашем веб-сервере вам необходимо настроить SSL с вашим сервером веб / приложений

...