我要求使用 java(使用开源框架)做一个 web 应用程序,它应该是一个高度安全的应用程序。
我的印象是,使用 https 将解决所有与浏览器和服务器之间的通信相关的问题。对吗?
如果我想将登录详细信息存储到会话对象中。假设连接是https,我这样做真的安全吗?
请给我一些关于如何使用 java 开发secure(to sustain session ID spoofing etc..) 应用程序的想法。我一直在做普通的用户名和密码登录应用程序,系统将用户信息(如用户名和角色)存储到会话对象中。
感谢和问候,
文奇
【问题讨论】:
标签: java security session https
我的印象是,使用 https 将解决所有与浏览器和服务器之间的通信相关的问题。对吗?
是的,因为它不会以明文形式发送请求,它会加密发送。
如果我想将登录详细信息存储到会话对象中。假设连接是https,我这样做真的安全吗?
与https无关,会存储在服务器上。
要在您的网络服务器中启用HTTPS,您需要使用您的网络/应用服务器配置SSL
【讨论】:
您可以使用Spring Security 来保护您的应用程序,这使得处理登录和注销例程以及根据分配给用户的角色使用注释、请求映射等对您的应用程序进行访问控制变得容易。它处理存储登录信息。如果你发现应该做不同的事情,你可以实现你自己的机制来满足你的需求——Spring Security 是高度可定制的接口。可能性是巨大的,据我所知,Spring Security 现在几乎是用于保护基于 Java 的 Web 应用程序的标准。
我个人在 grails 应用程序中使用 Spring Security,我对它的工作方式和可能性非常满意。
【讨论】:
在开始开发安全的 Web 应用程序之前,请阅读 OWASP 指南。
【讨论】: